Не работает токен при подключении по rdp

Не работает токен при подключении по rdp

Возможно, эта информация будет интересна

Рутокен является персональным устройством и должен находиться у пользователя. Его удаленное использование противоречит самой идее применения аппаратных средств подписи и аутентификации.

Самым правильным является способ, когда ваш токен подключен к локальному компьютеру, а в программе терминального клиента (протокол RDP) настроен проброс смарт-карт.

Если же устройство Рутокен все-таки нужно использовать удаленно, в этой статье мы описали способы, как это сделать .

Начиная с Windows Vista при подключении к компьютеру с помощью «Удаленного рабочего стола» (Remote Desktop Protocol, RDP), токен или смарт-карта должны быть подключены к локальному компьютеру.

Работа со смарт-картами и токенами, подключенными к удаленной машине по протоколу RDP невозможна.

Если токен или смарт-карта подключены к локальному компьютеру, а в программе на локальном компьютере настроен проброс смарт-карт, токен будет работать.

Если токен или смарт-карта подключены к удаленному компьютеру и к нему пытаются обратиться удаленно, то такая схема не будет работать.

Для корректной работы с моделью Рутокен S, драйверы Рутокен должны быть установлены и на терминале и на сервере.

При одновременном подключении пользователей по протоколу RDP, к удаленному компьютеру каждый пользователь работает только со своим Рутокеном и видит только свои ключи и сертификаты в Панели управлении Рутокен.

Установка драйверов Рутокен через RDP возможна на операционных системах, начиная с Windows Vista.

На более ранних операционных системах будет выдаваться сообщение, что установка запущена через удаленное подключение, и драйверы Рутокен устанавливаться не будут.

Для доменных систем: если проброс смарт-карт включен и схема использования токена правильная, а работать с токеном всё равно не получается, проверьте настройки групповых политик сервера:

«Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Перенаправление устройств и ресурсов\Не разрешать перенаправление устройства чтения смарт-карт» переведите в состояние «Отключить»

При подключении к Citrix работа со смарт-картами и токенами, подключенными к удаленной машине, как и по протоколу RDP, невозможна.

Источник

Wind10, RDP, не пробрасывается Рутокен

Сообщений 6

#1 Тема от alexmyt 2020-04-05 16:17:41

• alexmyt
• Посетитель
• Неактивен

Wind10, RDP, не пробрасывается Рутокен

Подключаюсь по RDP из дома в офис. На обеих машинах установлена Win 10 и последние драйвера Рутокен.
Рутокен установлен в машину с которой подключаюсь. В панели управления Рутокен определяется. На удаленной машине, если вставить Рутокен и зайти локально, он тоже определяется. То есть локально всё работает нормально.

Но при подключении через RDP Рутокен на удаленной машине не виден. Панель управления пишет что «Служба смарт-карт не запущена на компьютере, на котором установлен Рутокен».

Вывод certutil -scinfo на удаленной машине:

В свойствах подключения по RDP опция использования смарт-карт установлена.
Служба «Смарт-карты» запущена от имени учетной записи «Локальная служба».
Права в реестре на ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Readers для Local Service и текущего пользователя заданы.
Переустановку службы делал на обеих машинах по инструкции отсюда https://dev.rutoken.ru/display/KB/PU1020
Диагностику запускал https://help.rutoken.ru/
Антивирус (ESET) отключал.

Пробовал подключаться с двух разных компьютеров на два разных компьютера — результат тот же.

Подскажите, пожалуйста, что еще может пойти не так? Где и как можно поискать причину проблемы?

Источник

Порядок работы с ruToken по RDP на терминальном сервере (Страница 1 из 5)

Форум Рутокен → Программные решения Рутокен → Порядок работы с ruToken по RDP на терминальном сервере

Сообщений с 1 по 15 из 69

#1 Тема от Vantuz 2011-05-18 15:40:13

• Vantuz
• Посетитель
• Неактивен

Порядок работы с ruToken по RDP на терминальном сервере

На Windows 2008 установлен банк-клиент, использующий для входа ruToken.
Ставлю драйвер ruToken’а на терминал с Windows XP, вставляю токен, всё находится, на терминале токен виден.

Настраиваю в RDP-клиенте с Windows XP проброс смарт-карт, захожу на сервер под своим пользователем. Вставляю в мой терминал токен, и чё? Ничего не происходит. На терминальном сервере разве не должен появиться значок в трее, мол, «найдено новое устройство, подождите, пожалуйста». В диспетчере устройств новых устройств нету.

Короче говоря, что делать дальше? Я спрашиваю, чтобы не напортачить чего-нибудь лишнего.

#2 Ответ от Алексей Несененко 2011-05-18 16:07:57

• Алексей Несененко
• Посетитель
• Неактивен

Re: Порядок работы с ruToken по RDP на терминальном сервере

Драйвера Рутокен на сервере установлены?

#3 Ответ от Vantuz 2011-05-18 16:13:21

• Vantuz
• Посетитель
• Неактивен

Re: Порядок работы с ruToken по RDP на терминальном сервере

Нет. Надо сперва драйвер поставить? Просто странно, что сервер никак даже не отреагировал на то, что я в свой терминал вставил токен.

#4 Ответ от Алексей Несененко 2011-05-18 16:18:59

• Алексей Несененко
• Посетитель
• Неактивен

Re: Порядок работы с ruToken по RDP на терминальном сервере

Драйвера Рутокен надо поставить на сервер хотя бы для того чтобы настроить(проверить) работу банк-клиента с Рутокеном локально (непосредственно на сервере).
Какой банк-клиент Вы используете?
Какой криптопровайдер он использует?
Сервер и не должен «увидеть» токен подключаемый к терминалу.

#5 Ответ от Vantuz 2011-05-18 16:27:25

• Vantuz
• Посетитель
• Неактивен

Re: Порядок работы с ruToken по RDP на терминальном сервере

Банк-клиент BSS Systems. Версия «тонкого» клиента (Интернет-клиент то бишь). Банк «Открытие». Криптопровайдера не знаю, устанавливался вместе с ActiveX компонентом с самого сайта. При авторизации в Интернет-клиенте высвечивается голубое окошко на англ. языке, где надо ввести пароль на токен.

Не понял, почему вы сказали, что сервер не должен «увидеть» токен на терминале? Поискав на форуме темы, вы везде пишете, что схема: токен на терминале, считыватель на сервере по RDP должна работать, а вот схема: токен на сервере и считыватель на сервере может работать только, если сидеть за самим сервером.

Драйвер поставлю, напишу ещё.

#6 Ответ от Алексей Несененко 2011-05-18 16:52:49

• Алексей Несененко
• Посетитель
• Неактивен

Re: Порядок работы с ruToken по RDP на терминальном сервере

Токен будет виден в Вашей терминальной сессии. Но на самом сервере в диспетчере устройств он не появится.
Да, работоспособная схема именно такая — токен в терминале.
Да, драйвер на сервере нужен.

#7 Ответ от vinvideo 2011-07-24 19:03:05

• vinvideo
• Посетитель
• Неактивен

Re: Порядок работы с ruToken по RDP на терминальном сервере

подскажите: Пользуемся рутокенами более 3лет, в т.ч. и в терминальных rdp-сесиях, что-куда-когда пожалуй все знаем, дрова естессно и на «сервере» и на «терминалах», используемые приложения — разные банки-клиенты, разные авторизации (в тч через криптопро). до текущего дня использовали физические Rutoken и RutokenS, которые прекрасно работают в терминале(«пробрасывание» я так понимаю происходит по умолчанию), а также прекрасно видятся(и в терминальном режиме! на сервере) с помощью утилит rtAdmin, rtCert.
вчера появился физический RutokenECP. СУТЬ ПРОБЛЕМЫ: несмотря на то что локально он видится и на сервере, и на терминале(физически втыкал и туда и сюда), в терминальном режиме (rdp-сесия на сервер) он на сервере не видется.
(напомню: Rutoken и RutokenS в этоже время в терминальной сесии видны-работают. )
что это?? необходима какая-то особая настройка (особый проброс?) для физического RutokenECP . или в этом фишка RutokenECP?? (что в отлчии от Rutoken и RutokenS, — RutokenECP не пробрасывается и работает исключительно на локальной машине. )

(и кстати, в чем отличие RutokenECP от rutoken, rutokenS — киньте ссылку плз.)

#8 Ответ от Алексей Несененко 2011-07-25 10:29:09

• Алексей Несененко
• Посетитель
• Неактивен

Re: Порядок работы с ruToken по RDP на терминальном сервере

Рутокен является ПЕРСОНАЛЬНЫМ средством аутентификации.
Удаленная работа с токеном не предусмотренна вообще самой концепцией его использования.
По какой причине у Вас удалось удаленно обратиться к токену не понятно, НО, еще раз повторюсь, Рутокен нужно использовать ЛОКАЛЬНО, а не удаленно.

Ознакомиться с информацией о различных моделях Рутокенов Вы можете на нашем сайте — https://www.rutoken.ru/products/

#9 Ответ от vinvideo 2011-07-25 12:31:17

• vinvideo
• Посетитель
• Неактивен

Re: Порядок работы с ruToken по RDP на терминальном сервере

алексей, позвольте напомнить и объяснить:
Если ваш токен вставлен в терминал, а в программе терминального клиента настроен проброс смарт-карт, то Рутокен работать будет.

Если же Рутокен вставлен в сервер, а к нему пытаются обратится удаленно, то такая схема работать не будет.

В Citrix будет ситуация аналогичная использованию Рутокена в RDP.
Другие системы терминального доступа, такие как RAdmin или VNC, напротив, позволяют работать с токеном удалённо, но не позволяют пробросить клиентский токен на удаленную машину.
Более правильной считается работа по RDP протоколу, так как токен является персональным устройством и должен находится при пользователе. Его удаленное использование противоречит самой идее двухфакторной защиты.
(это ваше — https://forum.rutoken.ru/topic/1430/ )

и еще:
Про RDP:
Если ваш токен вставлен в терминал, а в программе терминального клиента настроен проброс смарт-карт, то работать будет.
Алексей имел ввиду ситуацию, когда токен вставлен в сервер, а к нему пытаются обратится удаленно. Такая схема работать не будет.
В Citrix будет такая же ситуация, как и в RDP.
Другие системы терминального доступа, такие как RAdmin или VNC, напротив, позволяют работать с токеном удалённо, но не позволяют пробросить клиентский токен на удаленную машину.
Более правильной считается работа по RDP протоколу, так как токен является персональным устройством и должен находится при пользователе, а не быть запертым в серверной с другим оборудованием.
(кирилл мещеряков- https://forum.rutoken.ru/topic/1415/ )

надеюсь теперь понятно что Рутокен мы используем «ЛОКАЛЬНО», как Персональное средство. . иначе-как-бы и технически невозможно.

поэтому повторю проблему:
вчера появился физический RutokenECP. СУТЬ ПРОБЛЕМЫ: несмотря на то что локально он видится и на сервере, и на терминале(физически втыкал и туда и сюда), в терминальном режиме (rdp-сесия на сервер) он «на сервере» не видется. (ЯСЕН ПЕНЬ- РУТОКЕН ВОТКНУТ В ТЕРМИНАЛ, НЕ на сервере. )
(напомню: Rutoken и RutokenS в этоже время в терминальной сесии видны-работают. )
что это?? необходима какая-то особая настройка (особый проброс?) для физического RutokenECP . или в этом фишка RutokenECP?? (что в отлчии от Rutoken и RutokenS, — RutokenECP не пробрасывается и работает исключительно на локальной(физически) машине. )

Источник

Токены в терминале (RDP) для любого пользователя

Выкатил нам один из банков прикол — обязал перейти с ключей на диске на токены (смарт-карты).
Все бы ничего, но с этим КБ привыкли работать в разделенном режиме. Более того, люди мало того, что работают на терминальном сервере, так еще и из разных городов и даже стран. Но токен виден в терминале только тому, кто его воткнул в свою рабочую станцию с которой идет подключение к терминалу. Остальные курят бамбук (часто за тысячи километров).

Банк рекомендует выделить одного человека, который будет работать с токенами, а остальные должны ему говорить что делать и когда. Но это беда жеж.

Если токен воткнуть напрямую в сервак, то его увидят только те, кто напрямую на серваке работает, а для RDP-подключений их не будет видно.

Может есть вариант проброски токенов по RDP так, что бы их видели все?

(0) Токен вероятно содержит криптоконтейнер, с именным сертификатом. По уму его должен использовать тот на кого сертификат выдан. В крайнем случае тот кому токен передан. Общий доступ без контроля это плохо. Приблизительно так же плохо как лежащие в приёмной фирменные бланки с подписью директора куда каждый может вписать свой текст.

Если с банком работает разумное количество пользователей то можно запросить сертификаты на всех пользователей. Это не дорого или даже бесплатно.

апну как я темку.
может кто-то еще чего посоветует ))

платные решения за вменяемые разовые деньги тоже пойдут. Но их гугл выдает много. Может кто что подобное юзал/юзает?

(26) Проброс через usb/ip не решит проблему.
Пробрасывал Рутокен с Юбунту на Винду, чтобы рса для Егаис перешить.
Но USB/IP хочет монопольного доступа, чтобы достучаться пришлось останавливать демона Рутокен на Юбунте.
Коммерческая версия USB Redirector тоже предупреждает об этом: https://www.incentivespro.com/helps/usb-redirector/features_inactivity_timeout.htm
Так что пробросить ключ по получится, а вот работать одновременно нет.
Разве что по очереди, но это все равно не то что нужно.

Патч SCardSvr.dll и WinSCard.dll скорее всего тоже не поможет, если будут запросы к ключу с разными параметрами, думаю, адские глюки неизбежны.

(29) Это банковские токены. В банках с легко копируемми закрытыми ключами лет десять борьба ведётся. И банковские безопасники всегда были против того что закрытый ключ можно легко скопировать и по слухам ФСБ тоже против.
В лучшем случае выставлен флаг некопируемости. В этом случае теоретически можно скопировать, патчить криптопровайдер или пытаться закрытый ключ из памяти вытащить. Доступные сисадмину методы закончились лет восемь назад. Но там скорее всего всё ещё хуже, не флаг некопируемости выставлен а ключ не копируемый. Ключевая пара создана таким образом что нет документированного способа экспортировать закрытый ключ. Мало шансов что топикстартеру доступны недокументированные способы. Тогда только атаки по побочным каналам всякие.

У некоторых банков можно попросить копируемый ключ. Технически они могут.

Но смысла нет. Правильный ответ уже дали. Попросить у банка бесплатно или за деньги сертификаты на всех или на часть пользователей и выдать им полномочия юридически которые у них уже есть фактически.

(33)
Так это не банк. Отчётность всякая в госорганы.
У вас там другой мир со своими правилами игры.
С чего вы взяли что у вас там есть хоть какая-то некопируемость?

У топикстартера банк:»Выкатил нам один из банков прикол. «

(37) Большинство банковских токенов закрытый ключ наружу не отдают и все операции с закрытым ключом проделывают внутри «флешки».
Наиболее продвинутые вдобавок к этому умеют шифровать канал связи между приложением и токеном но я подозреваю что это банкам не особо нужно.

(38) Я по прежнему не понимаю почему вы считаете что у вас ключи не копируемые. Если вы получили «флешку» в банке то по умолчанию закрытый ключ или некопируемый или трудно копируемый, но если в удостоверяющем центре то по умолчанию закрытый ключ легко копируемый. В УЦ можно получить и некопируемый, но это отдельные деньги, отдельный геморрой в сравнении с которым часто деньги уже не так важны, частичная потеря совместимости и в итоге как правило не нужно никому.

(39) Скорее всего «облачный токен» потребует поддержки со стороны банка.

(41) Я вижу два основных варианта:
1. При копировании не копируется закрытый ключ. Но поскольку закрытый ключ доступен всё работает.
2. Какой-то способ скопировать криптоконтейнер без использования криптопровайдера. Поскольку при работе ключ в память загружается это возможно. Это наиболее интересный вариант. На случай очередных проблем с Казначейством. Любопытно как именно.

И ещё один вариант, токена нет а есть съёмный диск. Тогда криптопровайдер откажется копировать закрытый ключ если выставлен флаг некопируемости. Но операционной системе эти все флаги глубоко безразличны, она о них даже не знает, для неё это просто файлы и копируются они как файлы.

(44) Странно. Для сдачи отчётности обычно по умолчанию копируемые штатными средствами.

Большая часть отчётности на самом деле делегируется. То есть нужно не копировать криптоконтейнер а оформить документы. Типа сдача отчётности в Росстат поручена Иванову И.И., на Иванова И.И. выпускается сертификат. Иванов И.И. получает на руки «флешку» и инструкцию куда эту шнягу втыкать и куда не втыкать. В случае косяков с ИВанова И.И. можно спросить. Полномочия ограничены. И если злые хакеры украли закрытый ключ то они могут от вашего имени отправить отчётность в Росстат, могут не отправлять, но больше не могут ничего. Генеральный с практически неограниченными полномочиями по уставу типа не при делах.
Есть конечно вещи которые не делегируются.

С банками такое тоже прокатывает. Но там геморроя сильно больше. Банкам выгодна подпись Генерального потому что эта подпись на основании устава, который практически вечный, а подпись буха она на основании довереннности у которой есть срок и этот срок нужно не прошляпить уже самому банку.

Источник