Электронно-цифровая подпись (ЭЦП) и токены, как средство ее хранения, плотно вошли в нашу жизнь, трудно представить себе предприятие, где нет хотя бы одной подписи. Другая распространенная технология — это удаленный рабочий стол (RDP), это может быть как сервер терминалов, так и просто доступ к рабочему месту сотрудника. Вполне ожидаемы попытки использовать обе эти технологии совместно, где и начинаются проблемы. В большинстве своем они проистекают от непонимания того, что такое токен, для чего он нужен и как с ним правильно работать.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Если мы говорим о токенах применительно к ЭЦП, то их основная задача — безопасное хранение закрытого ключа. Компрометация закрытого ключа равносильна полной утере подписи, так как с его помощью любой желающий может совершать от вашего имени юридически значимые действия. Использование усиленной квалифицированной электронной подписи (УКЭП) равносильно нотариально заверенной собственноручной подписи владельца. Начиная с 2022 года УКЭП выдается ФНС в единственном экземпляре, тем самым завершив эпоху зоопарка подписей, когда одно и тоже лицо (юридическое или физическое) могло иметь кучу подписей от разных УЦ, каждая из которых использовалась для собственного сервиса.
Но мы немного отклонились от темы. Но, благодаря этому отступлению можно понять, что ЭЦП — это очень важно и к ее безопасности следует относиться серьезно. Токены решают одну простую задачу — не допустить выход закрытого ключа за свои пределы. При любых криптографических операциях закрытый ключ не покидает пределов токена и не может быть просто так оттуда скопирован. В этом его основное отличие от таких хранилищ ЭЦП как флеш-карта или реестр, откуда ключи можно легко извлечь при наличии доступа.
Учитывая важность ЭЦП сложилась следующая парадигма — токен это индивидуальное аппаратное средство подписи и аутентификации, а сама идея удаленного доступа к нему идет вразрез со всеми представлениями о безопасности.
Начиная с Windows Vista при подключении к компьютеру при помощи RDP работа со смарт-картами и токенами, подключенными к удаленной машине невозможна.
Чтобы лучше разобраться в этом вопросе давайте проведем некоторые практические эксперименты. Мы будем использовать в них токены JaCarta, но это не имеет никакого значения, аналогично будут вести себя любые токены от любого производителя.
Подключим токен непосредственно к серверу терминалов и подключимся к нему интерактивно, т.е. через локальную консоль. В системе токен определяется как смарт-карта и устройство чтения смарт-карт.
Родное ПО также видит токен и сертификаты на нем:
А теперь подключимся к этому же серверу по RDP, нас ожидает совершенно иная картина, хотя Диспетчер устройств будет продолжать нам показывать присутствие токена в системе:
Как мы уже писали выше, из RDP-сессии доступ к токенам и смарт-картам, подключенным к удаленному устройству невозможен!
Если же мы подключим токен к локальному компьютеру и снова подключимся к удаленному серверу, то увидим, что ПО на сервере видит токен и может полноценно с ним работать. При этом на локальном компьютере не нужно устанавливать ПО для токена, если вы будете работать с ним только удаленно. Обратите внимание, что Диспетчер устройств не показывает подключенного к серверу устройства.
У многих здесь может возникнуть вопрос: а безопасно ли это? Пробрасывать токен на сервер? Да, безопасно, потому что пробрасывается стандартное устройство смарт-карта и все последующее взаимодействие идет именно с этим устройством, а критически важная информация, такая как закрытый ключ, ни при каких обстоятельствах не покидает пределы токена.
А если пользователей несколько и у каждого свой токен со своей ЭЦП? Ничего страшного, система предоставляет эффективную изоляцию токена в пределах сеанса. Берем еще один токен, подключаем ко второму компьютеру и соединяемся с сервером, как мы и ожидали, в текущей сессии пользователь видит только свой ключ.
Поэтому единственный правильный вариант сочетания ЭЦП расположенной на токенах и удаленного рабочего стола (RDP) — это расположение токена на клиенте с последующим пробросом устройства смарт-карты на терминальный сервер. С настройками по умолчанию это происходит автоматически, в противном случае проверьте, что у вас разрешен проброс смарт-карт как на клиенте, так и на сервере.
Но иногда все-таки бывают задачи, которые требуют использовать токен удаленно, в этих случаях следует использовать иные средства удаленного доступа, предполагающие подключение к текущему консольному сеансу. Последнее условие важно, сеанс к которому вы будете подключаться должен быть создан на сервере локально, а не через удаленный доступ.
Потому что даже если мы запустим TeamViewer или аналогичное ПО в RDP-сеансе, то мы не увидим токена, а попытавшись закрыть удаленный сеанс потеряем с ним связь.
Если же мы выполним локальный вход на сервер и запустим в рамках этого сеанса средство удаленного доступа, то токен снова будет доступен.
Как видим, если понимать основные принципы работы токенов при RDP-подключении, то никаких сложностей по работе с ними нет. Если необходим удаленный доступ, то вместо RDP используем иные средства, позволяющие непосредственно подключаться к локальному сеансу. Ну и не забываем, что ЭЦП — это большая ответственность и вопросы безопасности должны стоять на первом месте.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Skip to end of metadata
-
Created by , last modified by Ксения Шаврова on Oct 19, 2022
Go to start of metadata
Рутокен и Удаленный рабочий стол (RDP)
Возможно, эта информация будет интересна
Рутокен является персональным устройством и должен находиться у пользователя. Его удаленное использование противоречит самой идее применения аппаратных средств подписи и аутентификации.
Самым правильным является способ, когда ваш токен подключен к локальному компьютеру, а в программе терминального клиента (протокол RDP) настроен проброс смарт-карт.
Если же устройство Рутокен все-таки нужно использовать удаленно, в этой статье мы описали способы, как это сделать.
Если токен или смарт-карта подключены к локальному компьютеру, а в программе на локальном компьютере настроен проброс смарт-карт, токен будет работать.
Если токен или смарт-карта подключены к удаленному компьютеру и к нему пытаются обратиться удаленно, то такая схема не будет работать.
Убедитесь, что в программе удаленного рабочего стола включен проброс смарт-карт
При одновременном подключении пользователей по протоколу RDP, к удаленному компьютеру каждый пользователь работает только со своим Рутокеном и видит только свои ключи и сертификаты в Панели управлении Рутокен.
В рамках тестирования было проброшено 11 токенов с 11 разных компьютеров — в Панели управления Рутокен работа всех устройств одновременно была корректна.
Установка драйверов Рутокен через RDP возможна на операционных системах, начиная с Windows Vista.
На более ранних операционных системах будет выдаваться сообщение, что установка запущена через удаленное подключение, и драйверы Рутокен устанавливаться не будут.
Для доменных систем: если проброс смарт-карт включен и схема использования токена правильная, а работать с токеном всё равно не получается, проверьте настройки групповых политик сервера:
«Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПеренаправление устройств и ресурсовНе разрешать перенаправление устройства чтения смарт-карт» переведите в состояние «Отключить»
После изменения политики нужно перезагрузить сервер для того, чтобы изменения вступили в силу.
При подключении к Citrix работа со смарт-картами и токенами, подключенными к удаленной машине, как и по протоколу RDP, невозможна.
Содержание
- Как настроить проброс смарт карт rdp
- Перенаправление нового, не поддерживаемого в WTware, устройства
- Как настроить проброс смарт карт rdp
- Как настроить проброс смарт карт rdp
- Смарт-карты и службы удаленных рабочих столов
- Перенаправление служб удаленного рабочего стола
- RD Session Host server single sign-in experience
- Удаленные службы настольных компьютеров и вход смарт-карт
- Удаленные службы настольных компьютеров и вход смарт-карт в доменах
Как настроить проброс смарт карт rdp
WTware поддерживает наиболее распространенные USB-токены и ридеры смарт-карт rutoken, etoken, ASC и еще десяток других. Вы найдете полный список поддерживаемых устройств и порядок их подключения в инструкции.
Перенаправление нового, не поддерживаемого в WTware, устройства
Перенаправление каждого USB-токена и ридера смарт-карт через RDP нам приходится делать вручную. В лучшем случае достаточно прописать в WTware ответы windows-драйвера этого USB-токена или ридера смарт-карт о его имени и названии вендора. В более сложных случаях приходится повторять некорректное поведение windows-драйвера USB-токена или ридера. Если вам очень надо, чтобы WTware поддерживала ваш USB-токен или ридер смарт-карт, надо быть готовым скачать и поставить десяток новых сборок и отослать нам логи, процесс может занять месяц. Оно вам надо?
Если оно вам надо, начинаем:
- Подключите USB-токен или ридер к комьютеру с Windows. Запустите mstsc.exe, подключитесь к терминальному серверу.
- Добейтесь уверенной работы USB-токена или ридера, используя перенаправление смарт-карт в mstsc.exe (Параметры > Локальные устройства и ресурсы, галка «Смарт-карты»). Если программа, которая должна работать с вашим USB-токеном или ридером, не видит ее через mstsc, то надо связаться с разработчиком именно этой программы. То, что не работает через mstsc, не будет работать и через WTware.
- В терминальной сессии mstsc.exe при подключенном к терминалу USB-токене или ридере со вставленной картой запустите это приложение.
То, что оно выдаст, скопируйте и отправьте письмом нам на электронную почту. - Затем подключите USB-токен или ридер к терминалу, загрузите на терминале WTware, снимите лог (через конфигуратор с windows-машины, на которую была установлена WTware, или зайдите интернет эксплорером на IP терминала). Лог отправьте тем же письмом.
Дальнейшие инструкции вы получите по электронной почте. И запаситесь терпением, оно вам понадобится.
Источник
Как настроить проброс смарт карт rdp
Текущие сертифицированные версии КриптоПро CSP не поддерживают работу с локальными смарт-картами(смарт-картами, вставленными в машину, к которой подключаемся) в RDP-сессии, настроек, позволяющих решить эту задачу Microsoft не предоставляет.
Поддержка функционала доступа к локальным смарт-картам по RDP доступна, начиная с КриптоПро CSP 4.0 R5 и КриптоПро CSP 5.0 R2.
Данная версия реализовывает работу с локальными смарт-картами при подключении по RDP для новых криптопровайдеров:
Crypto-Pro GOST R 34.10-2001 System CSP
Crypto-Pro GOST R 34.10-2012 System CSP
Crypto-Pro GOST R 34.10-2012 Strong System CSP
Учётная запись, которая обращается к локальным смарткартам, должна входить в локальную группу администраторов или «Привилегированные пользователи КриптоПро CSP» (CryptoPro CSP Power Users), которую можно создать при необходимости.
Для работы с данными провайдерами необходимо:
1) Использовать CSP версии КС1 с хранением ключей в памяти приложений, но доустановить службу хранения ключей с помощью панели управления CSP или команды:
2) Применить reg-файл, создающий специальный криптопровайдер и модифицирующий параметры службы хранения ключей. В частности, для CSP 4.0 (для CSP 5.0 «ProductCode»=»<50f91f80-d397-437c-b0c8-62128de3b55e>«)
Crypto-Pro GOST R 34.10-2012 System CSP:
Windows Registry Editor Version 5.00
;Register new CSP with SCARD media and system service endpoint
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyDefaultsProviderCrypto-Pro GOST R 34.10-2012 System CSP]
«CP Module Entry Point»=»DllStartServer»
«CP Module Name»=»cpcspr.dll»
«Image Path»=»C:\Program Files\Crypto Pro\CSP\cpcsp.dll»
«CP Service Name»=»CryptoPro CSP Service 0»
«CP Service UUID»=»6E57FEEE-08E0-46ad-98C6-266B632C03FE»
[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftCryptographyDefaultsProviderCrypto-Pro GOST R 34.10-2012 System CSP]
«CP Module Entry Point»=»DllStartServer»
«CP Module Name»=»cpcspr.dll»
«Image Path»=»C:\Program Files (x86)\Crypto Pro\CSP\cpcsp.dll»
«CP Service Name»=»CryptoPro CSP Service 0»
«CP Service UUID»=»6E57FEEE-08E0-46ad-98C6-266B632C03FE»
;Set service no impersonate
;Disable pin cache
3) Перезапустить службу:
net stop cpcsp && net start cpcsp
4) Переустановить сертификаты, необходимые для работы по RDP, с привязкой к закрытому ключу на локальной смарт-карте с указанием провайдера Crypto-Pro GOST R 34.10-2012 System CSP.
5) Выключить службу распространения сертификатов CertPropSvc. (В противном случае сертификаты придется переустанавливать снова)
Для работы с контейнерами через панель КриптоПро CSP нужно в выпадающем списке указывать нужный провайдер.
Не все программные продукты умеют работать с новыми провайдерами.
Поддержка новых провайдеров в панели Инструменты КриптоПро есть, начиная с Криптопро CSP 5.0 R2.
Поддержка новых провайдеров в КриптоАРМ есть, начиная с КриптоАРМ 5.4.3.16.
Источник
Как настроить проброс смарт карт rdp
Возможно, эта информация будет интересна
Рутокен является персональным устройством и должен находиться у пользователя. Его удаленное использование противоречит самой идее применения аппаратных средств подписи и аутентификации.
Самым правильным является способ, когда ваш токен подключен к локальному компьютеру, а в программе терминального клиента (протокол RDP) настроен проброс смарт-карт.
Если же устройство Рутокен все-таки нужно использовать удаленно, в этой статье мы описали способы, как это сделать .
Начиная с Windows Vista при подключении к компьютеру с помощью «Удаленного рабочего стола» (Remote Desktop Protocol, RDP), токен или смарт-карта должны быть подключены к локальному компьютеру.
Работа со смарт-картами и токенами, подключенными к удаленной машине по протоколу RDP, невозможна.
Если токен или смарт-карта подключены к локальному компьютеру, а в программе на локальном компьютере настроен проброс смарт-карт, токен будет работать.
Если токен или смарт-карта подключены к удаленному компьютеру и к нему пытаются обратиться удаленно, то такая схема не будет работать.
Для корректной работы с моделью Рутокен S, драйверы Рутокен должны быть установлены и на терминале и на сервере.
При одновременном подключении пользователей по протоколу RDP, к удаленному компьютеру каждый пользователь работает только со своим Рутокеном и видит только свои ключи и сертификаты в Панели управлении Рутокен.
Установка драйверов Рутокен через RDP возможна на операционных системах, начиная с Windows Vista.
На более ранних операционных системах будет выдаваться сообщение, что установка запущена через удаленное подключение, и драйверы Рутокен устанавливаться не будут.
Для доменных систем: если проброс смарт-карт включен и схема использования токена правильная, а работать с токеном всё равно не получается, проверьте настройки групповых политик сервера:
«Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовПеренаправление устройств и ресурсовНе разрешать перенаправление устройства чтения смарт-карт» переведите в состояние «Отключить»
При подключении к Citrix работа со смарт-картами и токенами, подключенными к удаленной машине, как и по протоколу RDP, невозможна.
Источник
Смарт-карты и службы удаленных рабочих столов
Применяется к: Windows 10, Windows 11, Windows Server 2016 и выше
В этом разделе для ИТ-специалистов описывается поведение служб удаленного рабочего стола при внедрении входной карточки.
Содержимое в этом разделе относится к версиям Windows, указанным в списке Applies To в начале этой темы. В этих версиях логика перенаправления смарт-карт и API WinSCard объединяются для поддержки нескольких перенаправленных сеансов в один процесс.
Поддержка смарт-карт необходима, чтобы включить многие сценарии удаленных настольных служб. К ним можно отнести следующие.
Использование служб быстрого переключения пользователей или служб удаленного рабочего стола. Пользователь не может установить удаленное десктопное подключение на основе смарт-карт. То есть попытка подключения не удалась при быстром переключении пользователей или в сеансе удаленной службы настольных компьютеров.
Включение шифрования файловой системы (EFS) для поиска читателя смарт-карт пользователя в локальном органе безопасности (LSA) в процессе быстрого переключения пользователей или в сеансе удаленной службы настольных компьютеров. Если EFS не может найти читателя или сертификата смарт-карт, EFS не может расшифровать файлы пользователей.
Перенаправление служб удаленного рабочего стола
В сценарии удаленного рабочего стола пользователь использует удаленный сервер для запуска служб, а смарт-карта локализуется на компьютере, который использует пользователь. В сценарии регистрации смарт-карт служба смарт-карт на удаленном сервере перенаправляется на считыватель смарт-карт, подключенный к локальному компьютеру, на котором пользователь пытается войти.
Удаленное перенаправление настольных компьютеров
Заметки о модели перенаправления:
Этот сценарий — удаленный сеанс регистрации на компьютере с службами удаленного рабочего стола. В удаленном сеансе (помеченном как «Клиентская сессия»), пользователь запускает чистое использование /smartcard.
Стрелки представляют поток ПИН-кода после того, как пользователь ввел ПИН-код в командной подсказке, пока не достигнет смарт-карты пользователя в считывателье смарт-карт, подключенном к клиентского компьютера удаленного рабочего стола (RDC).
Проверка подлинности выполняется LSA в сеансе 0.
Обработка CryptoAPI выполняется в LSA (Lsass.exe). Это возможно, так как перенаправление RDP (rdpdr.sys) позволяет использовать контекст за сеанс, а не за один процесс.
Компоненты WinScard и SCRedir, которые были отдельными модулями в операционных системах раньше Windows Vista, теперь включены в один модуль. Библиотека ScHelper — это оболочка CryptoAPI, специфическая для протокола Kerberos.
Решение о перенаправлении принимается на основе контекста смарт-карты на основе сеанса потока, который выполняет вызов SCardEstablishContext.
Изменения в WinSCard.dll были внесены в Windows Vista для улучшения перенаправления смарт-карт.
RD Session Host server single sign-in experience
В соответствии с общими критериями клиент RDC должен быть настроен на использование диспетчера учетных данных для приобретения и сохранения пароля пользователя или ПИН-кода смарт-карты. Соблюдение общих критериев требует, чтобы приложения не получили прямой доступ к паролям или ПИН-коду пользователя.
Соблюдение общих критериев требует специально, чтобы пароль или ПИН-код никогда не оставьте LSA незашифрованным. Распределенный сценарий должен разрешить пароль или ПИН-код для перемещения между одним доверенным LSA и другим, и его нельзя расшифровать во время транзита.
Когда для сеансов удаленной службы настольных компьютеров используется один вход с включенной смарт-картой, пользователям по-прежнему необходимо войти для каждого нового сеанса служб удаленного рабочего стола. Однако пользователю не предложен пин-код для создания сеанса удаленной службы настольных компьютеров. Например, когда пользователь дважды щелкает значок Microsoft Word документа, который находится на удаленном компьютере, пользователю предлагается ввести ПИН-код. Этот ПИН-код отправляется с помощью защищенного канала, созданного SSP учетных данных. ПИН-код передается клиенту RDC по безопасному каналу и отправляется в Winlogon. Пользователь не получает дополнительных подсказок для ПИН-кода, если ПИН-код не является неправильным или есть ошибки, связанные с смарт-картами.
Удаленные службы настольных компьютеров и вход смарт-карт
Службы удаленного рабочего стола позволяют пользователям войти с помощью смарт-карты, введя ПИН-код на клиентский компьютер RDC и отправив его на хост-сервер сеанса RD таким образом, как проверка подлинности, основанная на имени пользователя и пароле.
Кроме того, для входа в смарт-карты необходимо включить параметры групповой политики, которые являются специфическими для служб удаленного рабочего стола.
Чтобы включить вход смарт-карты на сервер удаленного рабочего стола (RD Session Host), сертификат Центра рассылки ключей (KDC) должен присутствовать на клиентном компьютере RDC. Если компьютер не находится в одном домене или в группе, для развертывания сертификата можно использовать следующую команду:
certutil -dspublish NTAuthCA «DSCDPContainer«
Общее имя DSCDPContainer (CN) обычно является именем органа сертификации.
certutil -dspublish NTAuthCA «CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=engineering,DC=contoso,DC=com»
Сведения об этом параметре для средства командной строки см. в пункте dsPublish.
Удаленные службы настольных компьютеров и вход смарт-карт в доменах
Чтобы включить удаленный доступ к ресурсам предприятия, корневой сертификат для домена должен быть задан на смарт-карте. С компьютера, который присоединяется к домену, запустите следующую команду в командной строке:
certutil -scroots update
Сведения об этом параметре для средства командной строки см. в пункте -SCRoots.
Для служб удаленного рабочего стола в различных доменах сертификат KDC хост-сервера сеанса RD также должен присутствовать в магазине NTAUTH клиентского компьютера. Чтобы добавить магазин, запустите следующую команду в командной строке:
certutil -addstore-enterprise NTAUTH
Где сертификата KDC.
Сведения об этом параметре для средства командной строки см. в книге -addstore.
**** Примечание Если вы используете SSP учетных данных на компьютерах с поддерживаемой версией операционной системы, указанной в списке Applies To в начале этого раздела. Чтобы войти со смарт-картой с компьютера, не присоединився к домену, смарт-карта должна содержать корневую сертификацию контроллера домена. Безопасный канал инфраструктуры общедоступных ключей (PKI) невозможно установить без корневой сертификации контроллера домена.
Вход в службы удаленного рабочего стола в домене работает только в том случае, если УПЛ в сертификате использует следующую форму: @
UpN в сертификате должен включать домен, который можно разрешить. В противном случае протокол Kerberos не может определить, к каков домену обращаться. Эту проблему можно решить, включив подсказки домена GPO X509. Дополнительные сведения об этом параметре см. в группе политики и реестра смарт-карт Параметры.
Источник
14.10.22 — 13:00
Добрый день. Откликнитесь у кого виден ключ ЭП на терминальном сервере.
У клиента есть подключение к терминальному серверу с запуском оттуда базы 1С. Достаточно стандартная ситуация.
У клиента есть некопируемый ключ ЭП, выданный налоговой на Рутокене.
У клиента на компьютере и в терминалке установлены Крипто Про 5 и драйверы Рутокена.
В иконке RDP разрешен проброс смарт объектов.
Собственно вопрос- как заставить работать ключ? Втыкать в USB на самой терминалке не вариант. Она одна на сотрудников нескольких разных компаний.
Есть подозрение что вся страна как то работает с этими ключами почти год а как непонятно.
1 — 14.10.22 — 13:03
Если везде windows и политиками не запрещено то оно штатно пробрасывается
В ином случае можно пробросить USB порт
2 — 14.10.22 — 13:07
Windows. Политиками не запрещено. тоже проверяли. Ключ все равно не виден в сессии. Проброс USB усложнен так как нет понимания с каких устройств клиент подключается.
3 — 14.10.22 — 13:08
(2) Политиками разрешено с обеих сторон?
И со стороны клиента и на сервере?
Диски в т.ч. usb флешки и принтеры с обычными портами com/lpt нормально пробрасываются и видны не сервере в RDP сеансе?
4 — 14.10.22 — 13:10
(3) *на сервере
5 — 14.10.22 — 13:10
Диски в т.ч. usb флешки и принтеры с обычными портами com/lpt нормально пробрасываются и видны не сервере в RDP сеансе?
Все видно. кроме ключа.
6 — 14.10.22 — 13:14
мануалы уже изучал?
https://dev.rutoken.ru/display/KB/RU1003
сервер после установки драйверов перезагружали ведь да?
7 — 14.10.22 — 13:16
Он перезагружается каждый день.
8 — 14.10.22 — 13:37
(7) Что у тебя в девайсах на клиенте? Как этот ключ там выглядит?
9 — 14.10.22 — 13:39
Если я правильно помню, то пробрасывается не любой ключ, а только те которые имеют интерфейс совместимый с виндовыми смарткартами. У тебя ключ в девайсах виден как смарткарта?
10 — 14.10.22 — 13:42
+(9) В настройках рутокена, через их стандартную утилиту, можно переключить режим.
11 — 14.10.22 — 13:42
Это типичный Рутокен, выданный налоговой гендиректору. Крипто Про на клиенте его отлично видит.
Как он совместим с виндовыми смарт картами не знаю.
12 — 14.10.22 — 13:43
(11) Открой диспетчер устройств и посмотри или покажи нам
13 — 14.10.22 — 13:44
не могу. У меня нет доступа к клиентскому компу.
14 — 14.10.22 — 13:45
«типичный Рутокен» нет типичных
15 — 14.10.22 — 13:46
(13) Ну тогда и разговаривать не о чем. Зачем ты тут ходишь стонешь, если у тебя даже «нет доступа к клиентскому кому»?
16 — 14.10.22 — 13:54
(15) Классическая ситуация:
Требуют решить проблему/задачу но не дают требуемых ресурсов…
— крутитесь как хотите, но «Чтоб все сделал!»
17 — 14.10.22 — 13:54
(15) Хамство Вас не украшает. Отключитесь пожалуйста от темы. Глубокие знания предмета не заменяют отсутствия воспитания.
18 — 14.10.22 — 13:56
(11) для начала неплохо бы понять, лайт или 2.0.
19 — 14.10.22 — 13:57
(14) +1. Есть конкретная модель, о ней и нужно вести разговор.
20 — 14.10.22 — 14:20
Ты хочешь воткнуть токен в сервер из любого RDP клиент его использовать?
Майкрософт против. Вот тут чувак с этим не согласен и чего-то патчит в Win7 32bit http://lifayk.blogspot.com/2012/07/windows-smart-card-subsystem-and-remote.html в комментах есть решения для Win2K8 Srv
Если это не взлетит, то тебе нужно получить ЭЦП на Rutoken Lite/ Rutoken S, сделать копию в файлы и разместить это на сервере.
21 — 14.10.22 — 14:45
а почему никто не написал что нужен серверный криптопро при этом?
22 — 14.10.22 — 15:03
(21) очевидно, полагают что и так понятно Серверный крипто-про — штука иногда нужная. Но недешевая.
23 — 14.10.22 — 15:03
накинулись на чувака… Мож у него все на лайт уже и получено только он не сознается
24 — 14.10.22 — 16:57
(20) Налоговая не дает рутокен лайт/рутокен с — они все некопируемые по законодательству.
25 — 14.10.22 — 18:40
(24) налоговая, по-моему, вообще не дает носитель, нужно его где-то купить и потом ехать в налоговую со своим. И с лайтом люди приезжали и подпись получали, по крайней мере в начале года проблем с этим не было.
26 — 14.10.22 — 18:52
На самом деле все давно копируется (в папку). В реестр да, просто так не скопируешь, надо снимать признак некопируемости.
Диск с ключиком на серваке подключить и все. Правами доступ дать.
27 — 15.10.22 — 01:45
(25) (26) Научите плохому
28 — 15.10.22 — 07:54
У меня рутокен лайт. Воткнут в домашний комп с криптопро. По RDP цепляюсь к клиенту на обычный кома с win10. С него, по RDP, цепляюсь к их серваку. Криптопро установленное на сервере прекрасно видит мой рутокен.
29 — 15.10.22 — 08:26
30 — 15.10.22 — 08:44
(13) Добейся доступа. Нет вариантов
31 — 15.10.22 — 08:45
(0) скопируй ключ, будь мужыком. всегда так делаю.
32 — 15.10.22 — 11:09
Там в настройках,помимо cmartcard нужно все устройства выбирать через запись в реестр.
Кроме того,в политиках для пользователя и для компьютера нужно включить проброс (на сервере),иначе,даже принтер не пробросит.
33 — 15.10.22 — 23:19
(27) Искать по ключевому слову Tokens.exe
Вполне рабочая утилита от «Контура»
34 — 15.10.22 — 23:39
(33) ТОлько вроде в свежих релизах они выпилили эту возможность. Плюс если ЕГАИС и рутокен 2.0 то там без вариантов
35 — 15.10.22 — 23:39
Я чет ничего не пойму.
У автора, судя по 0) проблема не с тем, чтобы размножить ключи.
У него даже нет проблемы, чтобы ключи поставить на терминальный сервер. Он же русским языком в (0) написал ) -«Втыкать в USB на самой терминалке не вариант.»
У него маленькая проблема, чтобы именно с локального компа юзера пробросить ключ на сервер, я правильно сабж понимаю?
ну дык Garykom на это сразу ответил и даже ссылочку в (6) дал.
а вы тут начали интерпретировать сабж, как размножить ключ на флэшки и раздать всем страждущим юзерам?
так автора это не спасет, у него просто переформулируется вопрос — вместо как пробросить рутокен на терминальный сервер у него будет — как пробросить флэшку на терминальный сервер.
какая разница, что именно он не умеет пробрасывать, рутокен или флэшку.
36 — 15.10.22 — 23:51
(35) см (20)
37 — 16.10.22 — 00:05
(36) см. (0)
еще раз для непонятливых — в (0) русским языком написано «Втыкать в USB на самой терминалке не вариант».
автор НЕ ХОЧЕТ втыкать рутокен в сервер, поэтому комментарий в (20) мимо.
автор хочет пробросить рутокен с компа пользователя. Это абсолютно законный вариант, и в (6) приведен мануал самого разработчика рутокенов.
Вот только у автора не получается этот абсолютно законный вариант реализовать, я хз почему.
38 — 16.10.22 — 00:11
(37) точнее, я НЕ хз, почему автор не может реализовать законный вариант.
потому что в (13) он сам сказал — у него нет доступа к клиентскому компу.
поэтому законный вариант, описанный в мануале (), он реализовать и не может.
а вот почему у него нет доступа к клиентскому компу — вот тут я и хз.
39 — 16.10.22 — 00:17
И вообще вся тема после признания в (13) выглядит как анекдот.
Автор пытается настроить проброс чего-либо с клиентского компа на сервер, при этом не имея доступ к клиентскому компу.
40 — 16.10.22 — 09:20
(0) Тока что выдрал некопируемый ключ с JaCarta LT выданные налоговой и засунул в хранилище сертификатов пользователя на терминальном сервере.
Такском на терминале спокойно сожрал сертификат.
Так и работаем.
Vstur
41 — 16.10.22 — 12:36
(20) вот именно, т.к. есть возможность выбора типа ключа, и стоят они разные деньги, получить r. lite, его «можно» скопировать
- Remove From My Forums
проброс смартакрт по РДП
-
Вопрос
-
В связи с карантином пользователи переходят на удаленный режим работы. Не работает подписание ЭЦП через РДП.
Рабочая машина с семеркой. все установлено и работает. CSP,TSP, драйвера ключей — подписание локально работает.
Уносит ключ домой, вставляет в домашний компьютер с десяткой. На десятку CSP, драйвера ключей установлены. CSP ключ на десятке видит. Подключается по РДП к семерке — подписать не может. Система говорит «вставте
ключевой носитель»использование портов и смарт карт в локальных ресурсах рдп включено.
результат certutil -scinfo:
Диспетчер ресурсов смарт-карт Microsoft не выполняется.
WaitForSingleObject: Служба находится в неизвестном состоянии.
CertUtil: Команда — SCInfo ошибка: 0x80070102 (WIN32/HTTP: 258) CertUtil: Истекло время ожидания операции.
Службы смарткарт на обоих машинах запущены.Как заставить семерку увидеть ключ по РДП, вставленный в десятку?
Ответы
-
решено.
в gpedit.msc нужно включить RDP8.0 и перегрузить машину:
Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — узел сеансов
удаленных рабочих столов — Среда удаленных сеансов — разрешить протокол удаленного рабочего стола 8.0потом в подключениях — выбор транспортных протоколов включить TCP и UDP
-
Предложено в качестве ответа
8 апреля 2020 г. 11:59
-
Помечено в качестве ответа
Dmitriy VereshchakMicrosoft contingent staff
8 апреля 2020 г. 12:21
-
Предложено в качестве ответа
Статья обновлена: 17 августа 2022
ID: 15833
Если при работе с удаленными рабочими станциями у вас возникли проблемы с пробросом устройств, выполните инструкции ниже, в зависимости от операционной системы.
Как настроить проброс устройств в Windows 10
- Запустите редактор локальной групповой политики с помощью gpedit.msc на рабочей станции с правами администратора.
- Перейдите в Конфигурация компьютера → Административные шаблоны → Компоненты Windows.
- Перейдите в Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов.
- Перейдите в Перенаправление устройств и ресурсов.
- Выберите Не разрешать перенаправление поддерживаемых самонастраиваемых устройств.
- Выберите Отключено и нажмите ОК.
- Выберите Не разрешать перенаправление устройства чтения смарт-карт.
- Выберите Отключено и нажмите ОК.
- Запустите командную строку с правами администратора и выполните команду gpupdate /force.
- Перезагрузите устройство.
Проброс устройств будет настроен.
Как настроить проброс устройств в Windows Server 2016 и 2019
Шаг 1. Установите Удаленный помощник
- Откройте Диспетчер серверов и выберите Управление → Добавить роли и компоненты.
- Нажмите Далее.
- Выберите Установка ролей и компонентов и нажмите Далее.
- Выберите сервер из пула серверов и нажмите Далее.
- Установите флажок напротив роли Службы удаленных рабочих серверов и нажмите Далее.
- Установите флажок напротив компонента Удаленный помощник и нажмите Далее.
- Нажмите Далее.
- Установите флажок напротив службы ролей Узел сеансов удаленных рабочих столов.
- Нажмите Добавить компоненты.
- Нажмите Далее.
- Нажмите Установить.
Шаг 2. Установите параметры в редакторе локальной групповой политики
- Запустите gpedit.msc на целевом устройстве с правами администратора.
- Перейдите в Конфигурация компьютера → Административные шаблоны → Компоненты Windows.
- Перейдите в Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов.
- Перейдите в Подключения.
- Выберите Разрешать пользователям удаленное подключение с использованием служб удаленных рабочих столов.
- Выберите Включено и нажмите ОК.
- Выберите Устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов.
- Выберите Включено и нажмите ОК.
- Запустите командную строку с правами администратора и выполните команду gpupdate /force.
- Перезагрузите устройство.
Проброс устройств будет настроен.
Версия ПО: OSX 10.11 или более поздняя версия, Windows 7; 8; 10
Токены: Любые
Задача:
Как реализовать типовой сценарий настройки проброса токена eToken или JaCarta по RDP с MacOS на Windows.
Решение:
- На компьютере под управлением ОС Windows необходимо установить драйвер для используемой модели токена.
- Скачать и установить из магазина приложений App Store на MacOs приложение Microsoft Remote Desktop 10 ( https://itunes.apple.com/ru/app/microsoft-remote-desktop-10/id1295203466?mt=12 ).
- Произвести настройку подключения:
- Выбрать пункт настройки и нажать «Preferences»:
- Выбрать пункт «User Accounts» и нажать «+»:
- Заполнить пункты, согласно учетным данным, где:
username — Ваш доменИмя пользователя
password — Пароль от учетной записи
friendly name — Отображаемое имя в настройках
- В меню «Preferences» выбрать пункт «Gateways» и нажать «+»:
- Заполнить пункты, согласно учетным данным, где:
gatewayname — ip адрес компьютера, к которому будет подключение по RDP
friendly name — Отображаемое имя в настройках
useraccount — настройки user accounts
- Для того, чтобы добавить новое RDP соединение необходимо на главном экране программы выбрать пункт «+» и нажать «Desktop»:
- Заполнить пункты, согласно учетным данным, где:
pcname — ip адрес компьютера, к которому будет подключение по RDP
useraccount — настройки user accounts
gateway — настройки gateway
- Перейти в пункт «Devices&Accounts» и отметить пункт «Smart Cards», после этого сохранить настройки, нажав кнопку «Add»:
4. Подключить токен, выбрать созданное подключение и нажать «connect».
Приложение Microsoft Remote Desktop не поддерживает возможность входа по смарт-карте. Для входа в ОС с помощью смарт-карты необходимо:
- На стороне сервера нужно отключить NLA
- Устанавливаем MacPorts со страницы https://distfiles.macports.org/MacPorts/ согласно используемой версии MacOs. Подробную информацию о MacPorts можно найти на странице http://www.macports.org/
- Если после установки MacPorts не устанавливались компоненты XQuartz, то необходимо их скачать и установить. Доступно для скачивания — https://www.xquartz.org/
- Выполнить команды на рабочей станции под управлением MacOS:
sudo port install freerdp
xfreerdp -sec-nla /smartcard /v:<servername>