Смарт-карты и службы удаленных рабочих столов Smart Card and Remote Desktop Services
Применимо к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016
В этой статье для ИТ-специалистов описывается поведение служб удаленных рабочих столов при выполнении входа с помощью смарт-карты. This topic for the IT professional describes the behavior of Remote Desktop Services when you implement smart card sign-in.
Поддержка смарт-карт необходима для включения многих сценариев служб удаленных рабочих столов. Smart card support is required to enable many Remote Desktop Services scenarios. К ним относятся следующие задачи. These include:
Использование быстрого переключения пользователей или служб удаленных рабочих столов. Using Fast User Switching or Remote Desktop Services. Пользователь не может установить перенаправленное подключение к удаленному рабочему столу с помощью смарт-карты. A user is not able to establish a redirected smart card-based remote desktop connection. Это значит, что попытка подключения завершилась неудачей в быстрых сменах пользователей или в сеансе служб удаленных рабочих столов. That is, the connect attempt is not successful in Fast User Switching or from a Remote Desktop Services session.
Включение шифрованной файловой системы (EFS) для обнаружения устройства чтения смарт-карт пользователя из процесса локального администратора безопасности (LSA) в ходе быстрого переключения пользователей или в сеансе служб удаленных рабочих столов. Enabling Encrypting File System (EFS) to locate the user’s smart card reader from the Local Security Authority (LSA) process in Fast User Switching or in a Remote Desktop Services session. Если EFS не может найти устройство чтения смарт-карт или сертификат, система EFS не может расшифровать файлы пользователей. If EFS is not able to locate the smart card reader or certificate, EFS cannot decrypt user files.
Перенаправление служб удаленных рабочих столов Remote Desktop Services redirection
В сценарии удаленного рабочего стола пользователь использует удаленный сервер для выполнения служб, и смарт-карта является локальной для компьютера, на котором он используется. In a Remote Desktop scenario, a user is using a remote server for running services, and the smart card is local to the computer that the user is using. При входе в сценарий с помощью смарт-карты служба смарт-карт на удаленном сервере перенаправляется на устройство чтения смарт-карт, которое подключено к локальному компьютеру, на котором пользователь пытается войти. In a smart card sign-in scenario, the smart card service on the remote server redirects to the smart card reader that is connected to the local computer where the user is trying to sign in.
Перенаправление удаленного рабочего стола Remote Desktop redirection
Заметки о модели перенаправления. Notes about the redirection model:
Этот сценарий является сеансом с удаленным входом на компьютере с службами удаленных рабочих столов. This scenario is a remote sign-in session on a computer with Remote Desktop Services. В удаленном сеансе (с пометкой «клиентский сеанс») пользователь запускает net use/Смарткард. In the remote session (labeled as «Client session»), the user runs net use /smartcard.
Стрелки обозначают поток PIN-кода после того, как пользователь ввел PIN-код в командной строке, пока он не достигнет смарт-карты пользователя в устройстве чтения смарт-карт, которое подключено к клиентскому компьютеру подключения к удаленному рабочему столу (RDC). Arrows represent the flow of the PIN after the user types the PIN at the command prompt until it reaches the user’s smart card in a smart card reader that is connected to the Remote Desktop Connection (RDC) client computer.
Проверка подлинности выполняется администратором безопасности в сеансе 0. The authentication is performed by the LSA in session 0.
Обработка CryptoAPI выполняется в LSA (LSASS. exe). The CryptoAPI processing is performed in the LSA (Lsass.exe). Это возможно из-за того, что перенаправитель RDP (рдпдр. sys) допускает для каждого сеанса, а не контекста. This is possible because RDP redirector (rdpdr.sys) allows per-session, rather than per-process, context.
Компоненты Винскард и Скредир, которые были отдельными модулями в операционных системах более ранних, чем Виндовсвиста, теперь включены в один модуль. The WinScard and SCRedir components, which were separate modules in operating systems earlier than WindowsVista, are now included in one module. Библиотека Счелпер — это обертка CryptoAPI, относящаяся к протоколу Kerberos. The ScHelper library is a CryptoAPI wrapper that is specific to the Kerberos protocol.
Решение о перенаправлении создается для каждого контекста смарт-карты на основе сеанса потока, выполняющего вызов Скардестаблишконтекст. The redirection decision is made on a per smart card context basis, based on the session of the thread that performs the SCardEstablishContext call.
Изменения в реализации Винскард. DLL были сделаны в Виндовсвиста для улучшения перенаправления смарт-карт. Changes to WinSCard.dll implementation were made in WindowsVista to improve smart card redirection.
Единый вход на сервер узла сеансов удаленных рабочих столов RD Session Host server single sign-in experience
Как правило, клиент RDC необходимо настроить для использования диспетчера учетных данных для получения и сохранения пароля пользователя или PIN-кода. As a part of the Common Criteria compliance, the RDC client must be configurable to use Credential Manager to acquire and save the user’s password or smart card PIN. Для соответствия стандартным условиям требуется, чтобы приложения не имели прямого доступа к паролю или ПИН-коду пользователя. Common Criteria compliance requires that applications not have direct access to the user’s password or PIN.
Для соответствия стандартным условиям требуется, чтобы пароль или ПИН-код не выключались из незашифрованного LSA. Common Criteria compliance requires specifically that the password or PIN never leave the LSA unencrypted. Распределенный сценарий должен разрешить ввод пароля или PIN-кода между одним доверенным администратором безопасности и другим, и его нельзя будет дешифровать во время передачи. A distributed scenario should allow the password or PIN to travel between one trusted LSA and another, and it cannot be unencrypted during transit.
Если для сеансов служб удаленных рабочих столов используются функции единого входа (SSO) с поддержкой смарт-карт, пользователям по-прежнему необходимо входить в службу для каждого нового сеанса служб удаленных рабочих столов. When smart card-enabled single sign-in (SSO) is used for Remote Desktop Services sessions, users still need to sign in for every new Remote Desktop Services session. Тем не менее, для установления сеанса служб удаленных рабочих столов пользователю больше не будет предлагаться закрепление. However, the user is not prompted for a PIN more than once to establish a Remote Desktop Services session. Например, после двойного щелчка пользователем значка документа Microsoft Word, который находится на удаленном компьютере, пользователю будет предложено ввести ПИН-код. For example, after the user double-clicks a Microsoft Word document icon that resides on a remote computer, the user is prompted to enter a PIN. Этот PIN-код отправляется с помощью защищенного канала, установленного поставщиком учетных данных. This PIN is sent by using a secure channel that the credential SSP has established. ПИН-код пересылается на клиент RDC по безопасному каналу и отправляется в Winlogon. The PIN is routed back to the RDC client over the secure channel and sent to Winlogon. Пользователь не получает никаких дополнительных запросов для ПИН-кода, если ПИН-код не указан и не содержит ошибок, связанных с смарт-картой. The user does not receive any additional prompts for the PIN, unless the PIN is incorrect or there are smart card-related failures.
Службы удаленных рабочих столов и вход со смарт-картой Remote Desktop Services and smart card sign-in
Службы удаленных рабочих столов позволяют пользователям входить в систему с помощью смарт-карты, вводя ПИН-код на клиентском компьютере RDC и отправляя его на сервер узла сеансов удаленных рабочих столов аналогично проверке подлинности на основе имени пользователя и пароля. Remote Desktop Services enable users to sign in with a smart card by entering a PIN on the RDC client computer and sending it to the RD Session Host server in a manner similar to authentication that is based on user name and password.
Кроме того, параметры групповой политики, специфичные для служб удаленных рабочих столов, должны быть включены для входа с помощью смарт-карты. In addition, Group Policy settings that are specific to Remote Desktop Services need to be enabled for smart card-based sign-in.
Чтобы включить вход с помощью смарт-карты на сервер узла сеансов удаленных рабочих столов, на клиентском компьютере с RDC должен быть установлен сертификат центра распространения ключей (KDC). To enable smart card sign-in to a Remote Desktop Session Host (RD Session Host) server, the Key Distribution Center (KDC) certificate must be present on the RDC client computer. Если компьютер не входит в тот же домен или рабочую группу, можно использовать следующую команду для развертывания сертификата. If the computer is not in the same domain or workgroup, the following command can be used to deploy the certificate:
Обычно дскдпконтаинер общее имя (CN) — это имя центра сертификации. The DSCDPContainer Common Name (CN) is usually the name of the certification authority.
Вход в службы удаленных рабочих столов и подключение к смарт-картам через домены Remote Desktop Services and smart card sign-in across domains
Чтобы разрешить удаленный доступ к ресурсам в предприятии, корневой сертификат для домена должен быть настроен на смарт-карте. To enable remote access to resources in an enterprise, the root certificate for the domain must be provisioned on the smart card. На компьютере, подключенном к домену, выполните в командной строке следующую команду: From a computer that is joined to a domain, run the following command at the command line:
Для служб удаленных рабочих столов в разных доменах сертификат KDC сервера узла сеансов удаленных рабочих столов также должен присутствовать в хранилище NTAUTH клиентского компьютера. For Remote Desktop Services across domains, the KDC certificate of the RD Session Host server must also be present in the client computer’s NTAUTH store. Чтобы добавить магазин, выполните в командной строке следующую команду: To add the store, run the following command at the command line:
Где — это корневой сертификат поставщика сертификата KDC. Where is the root certificate of the KDC certificate issuer.
Обратите внимание на то, что при использовании поставщика общих служб для учетных данных на компьютерах с операционной системой, которые указаны в списке » применимые «, в начале этой статьи: для входа с помощью смарт-карты с компьютера, не на котором подключен к домену, смарт-карта должна содержать корневой сертификат контроллера домена. Note If you use the credential SSP on computers running the supported versions of the operating system that are designated in the Applies To list at the beginning of this topic: To sign in with a smart card from a computer that is not joined to a domain, the smart card must contain the root certification of the domain controller. Безопасный канал инфраструктуры открытых ключей (PKI) не может быть установлен без корневой сертификации контроллера домена. A public key infrastructure (PKI) secure channel cannot be established without the root certification of the domain controller.
Вход в службы удаленных рабочих столов через домен работает только в том случае, если имя участника-пользователя в сертификате использует следующую форму: @ Sign-in to Remote Desktop Services across a domain works only if the UPN in the certificate uses the following form: @
Имя участника-пользователя в сертификате должно содержать домен, который может быть разрешен. The UPN in the certificate must include a domain that can be resolved. В противном случае протокол Kerberos не может определить, к какому домену нужно обратиться. Otherwise, the Kerberos protocol cannot determine which domain to contact. Вы можете устранить эту проблему, включив подсказки для доменных подсказок объектов групповой политики (X509). You can resolve this issue by enabling GPO X509 domain hints. Дополнительные сведения об этом параметре см. в разделе Параметры групповой политики и реестра для смарт-карт. For more information about this setting, see Smart Card Group Policy and Registry Settings.
Источник
Как восстановить службу смарт-карт на Windows 7
Сообщений 2
#1 Тема от Алексей Несененко 2012-08-09 15:59:06 (2012-08-09 16:12:17 отредактировано Алексей Несененко)
Как восстановить службу смарт-карт на Windows 7
Однако, при определенных обстоятельствах она может отсутствовать. И в результате программы, которые зависят от этой службы, перестанут работать.
Если служба смарт-карт не находится в списке служб, но файл, связанный с этой службой (SCardSvr.dll), имеется в файловой системе,
то, скорее всего, проблема заключается не в том, что модулей нет, а в том, что они не загружены.
Служба отсутствует в списке, из-за того, что некоторые записи в реестре отличаются от тех же записей «нормальной системы».
Итак, если службы нет в списке, открываем редактор реестра командой regedit, и ищем в нем этот ключ. Скорее всего, он будет отсутствовать.
Если он присутствует, то это значит, что некоторые его параметры неправильные.
Загрузите этот файл и импортируйте его в реестр.
Перезагрузите систему.
Если Вам повезло, и дело было именно в этом ключе реестра, то служба вернется в список остальных служб.
#2 Ответ от Алексей Несененко 2012-08-09 16:00:28
Re: Как восстановить службу смарт-карт на Windows 7
Если файл не скачивается, то вот его содержание (т.е. создайте текстовый файл, скопируйте туда этот текст и сохраните его в файл с расширением reg).
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SCardSvr]
«DisplayName»=»@%SystemRoot%\\System32\\SCardSvr.dll,-1»
«Group»=»SmartCardGroup»
«ImagePath»=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
00,65,00,41,00,6e,00,64,00,4e,00,6f,00,49,00,6d,00,70,00,65,00,72,00,73,00,\
6f,00,6e,00,61,00,74,00,69,00,6f,00,6e,00,00,00
«Description»=»@%SystemRoot%\\System32\\SCardSvr.dll,-5»
«ObjectName»=»NT AUTHORITY\\LocalService»
«ErrorControl»=dword:00000001
«Start»=dword:00000002
«Type»=dword:00000020
«DependOnService»=hex(7):50,00,6c,00,75,00,67,00,50,00,6c,00,61,00,79,00,00,00,\
00,00
«ServiceSidType»=dword:00000001
«RequiredPrivileges»=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,00,6f,\
00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
65,00,00,00,00,00
«FailureActions»=hex:84,03,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SCardSvr\Parameters]
«ServiceDll»=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
53,00,43,00,61,00,72,00,64,00,53,00,76,00,72,00,2e,00,64,00,6c,00,6c,00,00,\
00
«ServiceMain»=»CalaisMain»
«ServiceDllUnloadOnStop»=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SCardSvr\Security]
«Security»=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\
00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\
00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\
00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,02,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\
00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\
00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\
00,20,02,00,00
Источник
Смарт-карты для службы Windows Smart Cards for Windows Service
Применимо к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016
В этой статье рассказывается о том, как смарт-карты для служб Windows (прежнее название — диспетчер ресурсов смарт-карт) управляют средствами чтения и взаимодействия с приложениями. This topic for the IT professional and smart card developers describes how the Smart Cards for Windows service (formerly called Smart Card Resource Manager) manages readers and application interactions.
Служба смарт-карт для Windows предоставляет базовую инфраструктуру для всех других компонентов смарт-карт, так как она управляет устройствами чтения смарт-карт и взаимодействиями приложений на компьютере. The Smart Cards for Windows service provides the basic infrastructure for all other smart card components as it manages smart card readers and application interactions on the computer. Она полностью совместима со спецификациями, заданными в Рабочей группе PC/SC. It is fully compliant with the specifications set by the PC/SC Workgroup. Сведения об этих спецификациях можно найти на веб-сайте спецификации для рабочих групп PC/SC. For information about these specifications, see the PC/SC Workgroup Specifications website.
Служба смарт-карт для Windows выполняется в контексте локальной службы и реализована как общая служба процесса узла служб (SVCHOST). The Smart Cards for Windows service runs in the context of a local service, and it is implemented as a shared service of the services host (svchost) process. На смарт-картах службы Windows, Скардсвр, описана следующая служба. The Smart Cards for Windows service, Scardsvr, has the following service description:
**** Примечание для винскард. dll, вызываемого в качестве правильного установщика класса, INF-файл для устройства чтения с помощью смарт карт должен указывать следующие для класса и классгуид: Note For winscard.dll to be invoked as the proper class installer, the INF file for a smart card reader must specify the following for Class and ClassGUID:
Class=SmartCardReader
ClassGuid=
По умолчанию служба настроена для ручного режима. By default, the service is configured for manual mode. Создатели драйверов для устройства чтения смарт-карт должны настроить их для автоматического запуска службы, и винскард. dll вызывают предопределенную точку входа, чтобы запустить службу во время установки. Creators of smart card reader drivers must configure their INFs so that they start the service automatically and winscard.dll files call a predefined entry point to start the service during installation. Точка входа определена как часть класса SmartCardReader и не вызывается напрямую. The entry point is defined as part of the SmartCardReader class, and it is not called directly. Если устройство объявляет себя как часть этого класса, точка входа автоматически вызывается для запуска службы при вставке устройства. If a device advertises itself as part of this class, the entry point is automatically invoked to start the service when the device is inserted. Использование этого метода гарантирует, что при необходимости служба будет включена, но она также будет отключена для пользователей, не использующих смарт-карты. Using this method ensures that the service is enabled when it is needed, but it is also disabled for users who do not use smart cards.
При запуске службы выполняются несколько функций. When the service is started, it performs several functions:
Он регистрируется для уведомлений служб. It registers itself for service notifications.
Он регистрируется для уведомлений о самои воспроизведении (PnP), связанных с удалением и дополнениями устройств. It registers itself for Plug and Play (PnP) notifications related to device removal and additions.
Он инициализирует свой кэш данных и глобальное событие, которое сигнализирует о том, что служба запущена. It initializes its data cache and a global event that signals that the service has started.
Служба смарт-карт для Windows предназначена для классификации всех разъемов устройства чтения смарт-карт как уникальных средств чтения, и каждый слот также управляется отдельно, независимо от физических характеристик устройства. The Smart Cards for Windows service categorizes each smart card reader slot as a unique reader, and each slot is also managed separately, regardless of the device’s physical characteristics. Служба смарт-карт для Windows обрабатывает следующие действия высокого уровня: The Smart Cards for Windows service handles the following high-level actions:
Введение в устройство Device introduction
Инициализация чтения Reader initialization
Уведомление клиентов о новых средствах чтения Notifying clients of new readers
Сериализация доступа к читателям Serializing access to readers
Доступ со смарт-картой Smart card access
Туннелирование команд, специфических для средства чтения Tunneling of reader-specific commands
Источник