Технический справочник по смарт-карте Smart Card Technical Reference

Применимо к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

Технический справочник по смарт-картам описывает инфраструктуру смарт-карт Windows для физических смарт-карт и работу компонентов, связанных с смарт-картами, в Windows. The Smart Card Technical Reference describes the Windows smart card infrastructure for physical smart cards and how smart card-related components work in Windows. В этом документе также содержатся сведения о средствах, которые ИТ-разработчики и администраторы могут использовать для устранения неполадок, отладки и развертывания проверки подлинности на основе смарт-карт на предприятии. This document also contains information about tools that information technology (IT) developers and administrators can use to troubleshoot, debug, and deploy smart card-based strong authentication in the enterprise.

Аудитория Audience

В этом документе объясняется, как работает инфраструктура смарт-карт Windows. This document explains how the Windows smart card infrastructure works. Чтобы понять эту информацию, необходимо иметь базовые знания об инфраструктуре открытых ключей (PKI) и понятиях смарт-карт. To understand this information, you should have basic knowledge of public key infrastructure (PKI) and smart card concepts. Этот документ предназначен для: This document is intended for:

Корпоративные ИТ-разработчики, менеджеры и сотрудники, плановые развертывание или использование смарт-карт в организации. Enterprise IT developers, managers, and staff who are planning to deploy or are using smart cards in their organization.

Поставщики смарт-карт, которые записывают мини-диски смарт-карт или поставщики учетных данных. Smart card vendors who write smart card minidrivers or credential providers.

Что такое смарт-карты? What are smart cards?

Смарт-карты — это устойчивые к взлому переносимые устройства хранения, которые могут повысить безопасность таких задач, как проверка подлинности клиентов, подписание кода, защита электронной почты и вход с помощью учетной записи домена Windows. Smart cards are tamper-resistant portable storage devices that can enhance the security of tasks such as authenticating clients, signing code, securing e-mail, and signing in with a Windows domain account.

Смарт-карты предоставляют: Smart cards provide:

Защищенное от взлома хранилище для защиты закрытых ключей и других форм личной информации. Tamper-resistant storage for protecting private keys and other forms of personal information.

Изоляция критически важных для безопасности вычислений, которые включают проверку подлинности, цифровые подписи и обмен ключами с других частей компьютера. Isolation of security-critical computations that involve authentication, digital signatures, and key exchange from other parts of the computer. Эти вычисления выполняются на смарт-карте. These computations are performed on the smart card.

Переносимость учетных данных и другой частной информации между компьютерами на работе, дома или в пути. Portability of credentials and other private information between computers at work, home, or on the road.

Смарт-карты можно использовать только для входов в учетные записи домена, а не локальные учетные записи. Smart cards can be used to sign in to domain accounts only, not local accounts. При использовании пароля для интерактивного доступа к учетной записи домена Windows использует для проверки подлинности протокол Kerberos версии 5 (v5). When you use a password to sign in interactively to a domain account, Windows uses the Kerberos version 5 (v5) protocol for authentication. Если вы используете смарт-карту, операционная система использует проверку подлинности Kerberos v5 с сертификатами X.509 v3. If you use a smart card, the operating system uses Kerberos v5 authentication with X.509 v3 certificates.

Виртуальные смарт-карты были представлены в Windows Server 2012 и Windows 8, чтобы снизить потребность в физической смарт-карте, устройстве чтения смарт-карт и связанном администрировании этого оборудования. Virtual smart cards were introduced in Windows Server 2012 and Windows 8 to alleviate the need for a physical smart card, the smart card reader, and the associated administration of that hardware. Сведения о технологии виртуальных смарт-карт см. в обзоре виртуальных смарт-карт. For information about virtual smart card technology, see Virtual Smart Card Overview.

В этом техническом справочнике In this technical reference

Эта справка содержит следующие разделы. This reference contains the following topics.

RDP и проблемы со службой смарт-карты

Сообщений 15

#1 Тема от Diam0nd 2015-08-17 07:14:13

• Diam0nd
• Посетитель
• Неактивен

RDP и проблемы со службой смарт-карты

На сервере Windows 2012 при работе по RDP панель управления Rutocken выдает ошибку:

«Система служба «Смарт-карты» не отвечает на запросы. Операции с токенами по этой причине невозможны. Проверьте состояние и настройки службы».

Сам токен вставлен в клиентский ПК и пробрасывается на терминальный сервер.
Есть ещё один сервер с Windows 2008 и там всё работает.
Пробовал уже несколько клиентских машин.

#2 Ответ от Антон Тихиенко 2015-08-17 10:02:09

• Антон Тихиенко
• Администратор
• Неактивен

Re: RDP и проблемы со службой смарт-карты

Ознакомьтесь, пожалуйста, с данной темой на нашем форуме.

#3 Ответ от Diam0nd 2015-08-17 10:55:29

• Diam0nd
• Посетитель
• Неактивен

Re: RDP и проблемы со службой смарт-карты

Ознакомьтесь, пожалуйста, с данной темой на нашем форуме.

К сожалению, предложенный вариант не подошёл. Fix от Microsoft ругается, что данное обновление несовместимо с ОС (пробовал и 32 и 64).
Отмечу также, что проблемы наблюдаются и на клиентских Windows 8.1.

#4 Ответ от Антон Тихиенко 2015-08-17 11:24:08

• Антон Тихиенко
• Администратор
• Неактивен

Re: RDP и проблемы со службой смарт-карты

К сожалению, предложенный вариант не подошёл. Fix от Microsoft ругается, что данное обновление несовместимо с ОС (пробовал и 32 и 64).
Отмечу также, что проблемы наблюдаются и на клиентских Windows 8.1.

Уточните, данная ошибка воспроизводится при локальной (не по RDP) авторизации на «проблемном» сервере?

#5 Ответ от Diam0nd 2015-08-17 11:32:09

• Diam0nd
• Посетитель
• Неактивен

Re: RDP и проблемы со службой смарт-карты

К сожалению, предложенный вариант не подошёл. Fix от Microsoft ругается, что данное обновление несовместимо с ОС (пробовал и 32 и 64).
Отмечу также, что проблемы наблюдаются и на клиентских Windows 8.1.

Уточните, данная ошибка воспроизводится при локальной (не по RDP) авторизации на «проблемном» сервере?

#6 Ответ от Антон Тихиенко 2015-08-17 15:46:08

• Антон Тихиенко
• Администратор
• Неактивен

Re: RDP и проблемы со службой смарт-карты

В нормальном случае ошибка не проявляется.

Пришлите нам дополнительные данные, а именно: для указанной ОС Windows Server 2012 нужно выполнить авторизацию через RDP и в командной строке Windows, запущенной от имени администратора, запустить команду certutil -scinfo. Выложите результаты работы этой команды.

Также уточните, ранее с данной системой производилась работа по RDP с электронными идентификаторами Рутокен или иными смарт-картами?

#7 Ответ от Diam0nd 2015-08-18 09:01:53

• Diam0nd
• Посетитель
• Неактивен

Re: RDP и проблемы со службой смарт-карты

Также уточните, ранее с данной системой производилась работа по RDP с электронными идентификаторами Рутокен или иными смарт-картами?

Этот сервер новый, другие смарт-карты не использовались.
Приложил скриншот командной строки.

#8 Ответ от Антон Тихиенко 2015-08-18 10:53:24

• Антон Тихиенко
• Администратор
• Неактивен

Re: RDP и проблемы со службой смарт-карты

Этот сервер новый, другие смарт-карты не использовались.
Приложил скриншот командной строки.

Сообщения Диспетчер ресурсов смарт-карт (Microsoft) не работает не должно быть.

Такое сообщение, как и реакция утилиты Панель управления Рутокен, может быть следствием того, что RDP-клиент не был настроен для проброса смарт-карт и, соответственно, нужно выполнить данную настройку (установить соответствующую галочку).

Также нужно убедиться что электронные идентификаторы Рутокен нормально определяются утилитой Панель управления Рутокен локально, на рабочих станциях.

Если для используемых рабочих станций есть неустановленные обновления операционных систем, то нужно эти обновления установить.

#9 Ответ от job378 2016-07-16 15:01:18 (2016-07-17 08:48:06 отредактировано job378)

• job378
• Посетитель
• Неактивен

Re: RDP и проблемы со службой смарт-карты

Есть PC с windows 10 (криптопро CSP 3.9) и usb-ключом Рутокен. Все работает, подписывается. Панель управления Рутокен тоже работает как и служба смарт-карты.
Но при подключении по RDP к windows 2012 (криптопро CSP 3.9) панель управления Рутокен выдает ошибку: «системная служба смарт-карты не отвечает на запросы». т.е. ключи не видит.
***

1)галочки стоят в rdp; 2) fix от microsoft не помогает; 3) ключи подключены к клиентскому компу windows 10 (пробовал и к серверу подключать, тоже самое пишет); 4) служба смарт на сервере работает нормально.
***
В чем может быть дело?

#10 Ответ от Анатолий Убушаев 2016-07-18 13:51:17

• Анатолий Убушаев
• Посетитель
• Неактивен

Re: RDP и проблемы со службой смарт-карты

Здравствуйте, job378!
Направил вам на e-mail указанный при регистрации письмо с рекомендациями.

#11 Ответ от krasher90 2016-10-29 00:29:09

• krasher90
• Посетитель
• Неактивен

Re: RDP и проблемы со службой смарт-карты

Здравствуйте, job378!
Направил вам на e-mail указанный при регистрации письмо с рекомендациями.

Здравстуйте, Анатолий Убушаев! Отправьте мне тоже, пожалуйста.

#12 Ответ от Анатолий Убушаев 2016-10-31 09:43:48

• Анатолий Убушаев
• Посетитель
• Неактивен

Re: RDP и проблемы со службой смарт-карты

Здравствуйте, job378!
Направил вам на e-mail указанный при регистрации письмо с рекомендациями.

Здравстуйте, Анатолий Убушаев! Отправьте мне тоже, пожалуйста.

Подскажите пожалуйста, на сервере к которому подключаетесь по RDP, служба
«Перенаправитель портов пользовательского режима служб удаленных рабочих столов» или если на англ. «Remote Desktop Services UserMode Port Redirector», в каком состоянии находится?
Эта служба на сервере должна быть включена.
Либо если включена попробуйте, перезапустить службу и переподключиться к серверу по RDP.
Кстати ещё один из главных моментов, Рутокен должен быть подключен к компьютеру с которого подключаетесь к серверу, а не к серверу.
Так же в дополнении проверьте работоспособность службы «Смарт-карта» на клиентском компьютере.
Если служба выключена, то включить, если включена, то перезапустить и убедится, что служба запускается от имени «LOCAL SERVICE».

#13 Ответ от Vintik 2016-11-10 20:47:47

• Vintik
• Посетитель
• Неактивен

Re: RDP и проблемы со службой смарт-карты

По RDP и не должно работать и это не только Рутокены. практически все т.п. ключи не будут работать.
З
То что работает как описано в http://forum.rutoken.ru/topic/2028/ скорее всего очередная ошибка MS.
Не понимаю проблемы в целом, используйте другие средства уд. доступа (тот же AA возимите и по IP подключайтесь, а не ID) и не какие службы работающие с ключами не будут отключаться.

Т.е. любую другую программу удалённого пользования.

#14 Ответ от opni67 2017-02-10 10:08:29

• opni67
• Посетитель
• Неактивен

Re: RDP и проблемы со службой смарт-карты

Здравствуйте! Есть 2 ПК: локальный под управлением Windows XP SP3 и удаленный с Windows 7. На обоих компьютерах установлен КриптоПро CSP 3.6. Рутокен подключен к локальному компьютеру, соединяется с удаленным через RDP. При запуске Панели управления Рутокен на удаленном компьютере выходит сообщение «системная служба «Смарт-карты» не отвечает на запросы». После некоторых манипуляций, например, переподключения к удаленному компьютеру или перезапуска службы «Смарт-карты» на локальном и удаленном компьютере носитель становится видимым. Как можно настроить стабильную работу устройства?

#15 Ответ от Анатолий Убушаев 2017-02-10 16:05:29

• Анатолий Убушаев
• Посетитель
• Неактивен

Re: RDP и проблемы со службой смарт-карты

Стабильность работы данной схемы зависит, от состояния ОС и её служб «Смарт-карта» и «Перенаправитель портов пользовательского режима служб удаленных рабочих столов» на обоих ПК.

Smart Cards for Windows Service

Applies To: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

This topic for the IT professional and smart card developers describes how the Smart Cards for Windows service (formerly called Smart Card Resurce Manager) manages readers and application interactions.

The Smart Cards for Windows service provides the basic infrastructure for all other smart card components as it manages smart card readers and application interactions on the computer. It is fully compliant with the specifications set by the PC/SC Workgroup. For information about these specifications, see the PC/SC Workgroup library.

The Smart Cards for Windows service runs in the context of a local service, and it is implemented as a shared service of the services host (svchost) process. The Smart Cards for Windows service, Scardsvr, has the following service description:

For winscard.dll to be invoked as the proper class installer, the INF file for a smart card reader must specify the following for Class and ClassGUID : Class=SmartCardReader ClassGuid=

By default, the service is configured for manual mode. Creators of smart card reader drivers must configure their INFs so that they start the service automatically and winscard.dll files call a predefined entry point to start the service during installation. The entry point is defined as part of the SmartCardReader class, and it is not called directly. If a device advertises itself as part of this class, the entry point is automatically invoked to start the service when the device is inserted. Using this method ensures that the service is enabled when it is needed, but it is also disabled for users who do not use smart cards.

When the service is started, it performs several functions:

It registers itself for service notifications.

It registers itself for Plug and Play (PnP) notifications related to device removal and additions.

It initializes its data cache and a global event that signals that the service has started.

For smart card implementations, consider sending all communications in Windows operating systems with smart card readers through the Smart Cards for Windows service. This provides an interface to track, select, and communicate with all drivers that declare themselves members of the smart card reader device group.

The Smart Cards for Windows service categorizes each smart card reader slot as a unique reader, and each slot is also managed separately, regardless of the device’s physical characteristics. The Smart Cards for Windows service handles the following high-level actions: