Служба смарт карт windows 10 как запустить
Перейти к содержимому

Служба смарт карт windows 10 как запустить

  • автор:

Смарт-карты для службы Windows

В этом разделе для ИТ-специалистов и разработчиков интеллектуальных карта описывается, как служба смарт-карт для Windows (ранее называвшаяся Resource Manager смарт-карт) управляет средствами чтения и взаимодействия с приложениями.

Служба Смарт-карт для Windows предоставляет базовую инфраструктуру для всех остальных компонентов интеллектуального карта, так как она управляет интеллектуальными карта средствами чтения и взаимодействия с приложениями на компьютере. Он полностью соответствует спецификациям, заданным рабочей группой PC/SC. Сведения об этих спецификациях см. на веб-сайте спецификаций рабочей группы PC/SC.

Служба смарт-карт Windows выполняется в контексте локальной службы и реализуется как общая служба процесса узла служб (svchost). Служба «Смарт-карты для Windows» Scardsvr содержит следующее описание службы:

Для вызова winscard.dll в качестве правильного установщика класса INF-файл для средства чтения смарт-карта должен указать следующие значения в параметрах Class и ClassGUID:

По умолчанию служба настроена в ручном режиме. Создатели драйверов средства чтения смарт-карта должны настроить свои INF таким образом, чтобы служба запускалась автоматически, а файлы winscard.dll вызывают предопределенную точку входа для запуска службы во время установки. Точка входа определяется как часть класса SmartCardReader и не вызывается напрямую. Если устройство объявляет себя частью этого класса, точка входа автоматически вызывается для запуска службы при вставке устройства. Использование этого метода гарантирует, что служба будет включена при необходимости, но она также отключена для пользователей, которые не используют смарт-карты.

При запуске служба выполняет несколько функций:

  1. Он регистрирует себя для уведомлений службы.
  2. Он регистрируется для уведомлений Plug and Play (PnP), связанных с удалением и добавлением устройства.
  3. Он инициализирует кэш данных и глобальное событие, которое сигнализирует о запуске службы.

Для реализации смарт-карта рассмотрите возможность отправки всех сообщений в операционных системах Windows со средствами чтения смарт-карта через службу смарт-карт для Windows. Это обеспечивает интерфейс для отслеживания, выбора и взаимодействия со всеми драйверами, которые объявляют себя членами интеллектуальной карта группы устройств чтения.

Служба Смарт-карт для Windows классифицирует каждый слот средства чтения смарт-карта как уникальное средство чтения, и каждый слот также управляется отдельно, независимо от физических характеристик устройства. Служба смарт-карт для Windows обрабатывает следующие действия высокого уровня:

  • Введение в устройство
  • Инициализация чтения
  • Уведомление клиентов о новых читателях
  • Сериализация доступа к модулям чтения
  • Интеллектуальный доступ к карта
  • Туннелирование команд для чтения

Смарт-карты и службы удаленных рабочих столов

В этом разделе для ИТ-специалистов описывается поведение служб удаленных рабочих столов при реализации интеллектуального карта входа.

Интеллектуальная карта логика перенаправления и API WinSCard объединяются для поддержки нескольких перенаправленных сеансов в одном процессе.

Поддержка смарт-карта необходима для реализации многих сценариев служб удаленных рабочих столов. К ним можно отнести следующие.

  • Использование быстрого переключения пользователей или служб удаленных рабочих столов. Пользователь не может установить перенаправленное подключение к удаленному рабочему столу на основе смарт-карта. То есть попытка подключения не выполняется при быстром переключении пользователей или из сеанса служб удаленных рабочих столов.
  • Включение шифруемой файловой системы (EFS) для поиска средства чтения интеллектуальной карта пользователя из процесса локального центра безопасности (LSA) при быстром переключении пользователей или в сеансе служб удаленных рабочих столов. Если EFS не может найти средство чтения или сертификата смарт-карта, EFS не может расшифровать файлы пользователей.

Перенаправление служб удаленных рабочих столов

В сценарии удаленного рабочего стола пользователь использует удаленный сервер для запуска служб, а смарт-карта является локальным для компьютера, который использует пользователь. В сценарии входа в смарт-карта служба smart карта на удаленном сервере перенаправляется на средство чтения смарт-карта, подключенное к локальному компьютеру, на котором пользователь пытается войти.

Служба интеллектуальной карта перенаправляется в средство чтения интеллектуальной карта.

Перенаправление удаленного рабочего стола

Примечания о модели перенаправления:

  1. Этот сценарий представляет собой сеанс удаленного входа на компьютере со службами удаленных рабочих столов. В удаленном сеансе (помеченном как сеанс клиента) пользователь запускается net use /smartcard
  2. Стрелки представляют поток ПИН-кода после ввода ПИН-кода в командной строке, пока он не достигнет смарт-карта пользователя в средстве чтения смарт-карта, подключенном к клиентскому компьютеру подключения к удаленному рабочему столу (RDC)
  3. Проверка подлинности выполняется LSA в сеансе 0.
  4. Обработка CryptoAPI выполняется в LSA ( lsass.exe ). Это возможно, так как перенаправление RDP ( rdpdr.sys ) разрешает контекст для каждого сеанса, а не для процесса.
  5. Библиотека ScHelper — это оболочка CryptoAPI, относяющаяся к протоколу Kerberos.
  6. Решение о перенаправлении принимается для каждого интеллектуального карта контексте на основе сеанса потока, выполняющего SCardEstablishContext вызов.

Единый вход сервера узла сеансов удаленных рабочих стола

В рамках соответствия общим критериям клиент RDC должен быть настроен на использование диспетчера учетных данных для получения и сохранения пароля пользователя или смарт-карта ПИН-кода. Соответствие common criteria требует, чтобы у приложений не было прямого доступа к паролю или ПИН-коду пользователя.

Соответствие общим критериям требует, в частности, чтобы пароль или ПИН-код не оставляли LSA незашифрованными. Распределенный сценарий должен разрешать передачу пароля или ПИН-кода между одним доверенным LSA и другим, и они не могут быть незашифрованы во время передачи.

Если для сеансов служб удаленных рабочих столов используется единый вход с поддержкой смарт-карта, пользователям по-прежнему необходимо выполнять вход для каждого нового сеанса служб удаленных рабочих столов. Однако пользователю не предлагается ввести ПИН-код более одного раза для создания сеанса служб удаленных рабочих столов. Например, когда пользователь дважды щелкает значок документа Microsoft Word, который находится на удаленном компьютере, пользователю будет предложено ввести ПИН-код. Этот ПИН-код отправляется с помощью безопасного канала, установленного поставщиком учетных данных SSP. ПИН-код направляется обратно в клиент RDC по безопасному каналу и отправляется в Winlogon. Пользователь не получает никаких дополнительных запросов на ввод ПИН-кода, если только пин-код не является неправильным или нет ошибок, связанных с интеллектуальными карта.

Вход в службы удаленных рабочих столов и смарт-карта

Службы удаленных рабочих столов позволяют пользователям выполнять вход с помощью интеллектуальной карта, вводя ПИН-код на клиентском компьютере RDC и отправляя его на сервер узла сеансов удаленных рабочих столов таким образом, как проверка подлинности на основе имени пользователя и пароля.

Кроме того, для входа на основе смарт-карта необходимо включить параметры групповой политики, относящиеся к службам удаленных рабочих столов.

Чтобы включить интеллектуальный карта вход на сервер узла сеансов удаленных рабочих столов (узел сеансов удаленных рабочих столов), на клиентском компьютере RDC должен присутствовать сертификат центра распространения ключей (KDC). Если компьютер не в том же домене или рабочей группе, для развертывания сертификата можно использовать следующую команду:

certutil.exe -dspublish NTAuthCA "DSCDPContainer" 

Общее DSCDPContainer имя (CN) обычно является именем центра сертификации.

certutil -dspublish NTAuthCA "CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=engineering,DC=contoso,DC=com" 

Сведения об этом параметре для программы командной строки см. в разделе -dsPublish.

Службы удаленных рабочих столов и интеллектуальные карта входа в разных доменах

Чтобы разрешить удаленный доступ к ресурсам на предприятии, корневой сертификат для домена должен быть подготовлен на смарт-карта. На компьютере, присоединенном к домену, выполните следующую команду в командной строке:

certutil.exe -scroots update 

Сведения об этом параметре для программы командной строки см. в разделе -SCRoots.

Для служб удаленных рабочих столов в разных доменах сертификат KDC сервера узла сеансов удаленных рабочих столов также должен присутствовать в хранилище NTAUTH клиентского компьютера. Чтобы добавить хранилище, выполните следующую команду в командной строке:

certutil -addstore -enterprise NTAUTH

Где CertFile — это корневой сертификат издателя сертификата KDC.

Сведения об этом параметре для программы командной строки см. в разделе -addstore.

Для входа с помощью интеллектуального карта с компьютера, который не присоединен к домену, смарт-карта должна содержать корневую сертификацию контроллера домена. Безопасный канал инфраструктуры открытых ключей (PKI) невозможно установить без корневой сертификации контроллера домена.

Вход в службы удаленных рабочих столов в домене работает только в том случае, если имя участника-пользователя в сертификате использует следующую форму: @ .

Имя участника-пользователя в сертификате должно содержать домен, который можно разрешить. В противном случае протокол Kerberos не может определить, к какому домену следует обращаться. Эту проблему можно устранить, включив указания домена GPO X509. Дополнительные сведения об этом параметре см. в разделе Параметры групповая политика смарт-карты и реестра.

Обратная связь

Были ли сведения на этой странице полезными?

Начало работы с виртуальными смарт-картами: пошаговое руководство

ключи безопасности Windows Hello для бизнеса и FIDO2 — это современные двухфакторные методы проверки подлинности для Windows. Клиентам, использующим виртуальные смарт-карты, рекомендуется перейти на Windows Hello для бизнеса или FIDO2. Для новых установок Windows рекомендуется Windows Hello для бизнеса или ключи безопасности FIDO2.

В этом разделе для ИТ-специалистов описывается настройка базовой тестовой среды для использования виртуальных смарт-карт доверенного платформенного модуля.

Виртуальные смарт-карты — это технология корпорации Майкрософт, которая обеспечивает сравнимые преимущества безопасности при двухфакторной проверке подлинности с физическими смарт-картами. Они также обеспечивают больше удобства для пользователей и более низкую стоимость развертывания для организаций. Используя устройства доверенного платформенного модуля (TPM), которые предоставляют те же возможности шифрования, что и физические смарт-карты, виртуальные смарт-карты обеспечивают три ключевых свойства, необходимые смарт-картам: неэкспортируемость, изолированная криптография и защита от молотка.

В этом пошаговом руководстве показано, как настроить базовую тестовую среду для использования виртуальных смарт-карт доверенного платформенного модуля. После выполнения этого пошагового руководства на компьютере Windows будет установлена функциональная виртуальная интеллектуальная карта.

Вы сможете выполнить это пошаговое руководство менее чем за один час, за исключением установки программного обеспечения и настройки тестового домена.

Пошаговое руководство

  • Предварительные условия
  • Шаг 1. Создание шаблона сертификата
  • Шаг 2. Создание виртуальной интеллектуальной карта доверенного платформенного модуля
  • Шаг 3. Регистрация для получения сертификата на виртуальной смарт-карте доверенного платформенного модуля

Эта базовая конфигурация используется только для тестовых целей. Он не предназначен для использования в рабочей среде.

Предварительные условия

  • Компьютер под управлением Windows 10 с установленным и полностью функциональным TPM (версия 1.2 или версия 2.0)
  • Тестовый домен, к которому можно присоединить указанный выше компьютер.
  • Доступ к серверу в этом домене с полностью установленным и работающим центром сертификации (ЦС)

Шаг 1. Создание шаблона сертификата

На сервере домена необходимо создать шаблон для сертификата, запрашиваемого для виртуальной интеллектуальной карта.

Создание шаблона сертификата

  1. На сервере откройте консоль управления (MMC). Один из способов сделать это — ввести mmc.exe в меню Пуск, щелкнуть правой кнопкой мышиmmc.exeи выбрать запуск от имени администратора.
  2. ВыберитеДобавить или удалить оснастку«Файл
  3. В списке доступных оснасток выберите Шаблоны сертификатов, а затем — Добавить.
  4. Шаблоны сертификатов теперь находятся в корневом каталоге консоли в MMC. Дважды щелкните его, чтобы просмотреть все доступные шаблоны сертификатов.
  5. Щелкните правой кнопкой мыши шаблон Входа смарт-карты и выберите Дублировать шаблон.
  6. На вкладке Совместимость в разделе Центр сертификации просмотрите выбранный элемент и при необходимости измените его.
  7. На вкладке Общие :
    1. Укажите имя, например Вход с виртуальной смарт-картой доверенного платформенного модуля
    2. Задайте для срока действия требуемое значение.
    1. Задайте для параметра Назначениезначение Подпись и вход со смарт-картой
    2. Выберите Запрос пользователя во время регистрации.
    1. Задайте для минимального размера ключа значение 2048.
    2. Выберите Запросы должны использовать один из следующих поставщиков, а затем выберите Microsoft Base Smart Card Crypto Provider

    Чтобы реплицировать шаблон на все серверы и стать доступным в этом списке, может потребоваться некоторое время.

    1. После репликации шаблона в MMC щелкните правой кнопкой мыши список Центр сертификации, выберите Все задачи, а затем выберите Остановить службу. Затем снова щелкните правой кнопкой мыши имя ЦС, выберите Все задачи, а затем — Запустить службу.

    Шаг 2. Создание виртуальной интеллектуальной карта доверенного платформенного модуля

    На этом шаге вы создадите виртуальную интеллектуальную карта на клиентском компьютере с помощью средства командной строки Tpmvscmgr.exe.

    Создание виртуальной интеллектуальной карта доверенного платформенного модуля

    1. На присоединенном к домену компьютере откройте окно командной строки с учетными данными администратора.
    2. В командной строке введите следующее и нажмите клавишу ВВОД:

    tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

    При этом создается виртуальная интеллектуальная карта с именем TestVSC, опускается ключ разблокировки и создается файловая система на карта. Для ПИН-кода задано значение по умолчанию, 12345678. Чтобы получить запрос на ввод ПИН-кода, вместо параметра /pin по умолчанию можно ввести /pin prompt.
    Дополнительные сведения о средстве командной строки Tpmvscmgr см. в разделе Использование виртуальных смарт-карт и Tpmvscmgr.

    1. Подождите несколько секунд, пока процесс завершится. По завершении Tpmvscmgr.exe предоставляет идентификатор экземпляра устройства для виртуальной смарт-карты доверенного платформенного модуля. Сохраните этот идентификатор для последующего использования, так как он нужен для управления виртуальным интеллектуальным карта или удаления его.

    Шаг 3. Регистрация для получения сертификата на виртуальной смарт-карте доверенного платформенного модуля

    Виртуальный интеллектуальный карта должен быть подготовлен с помощью сертификата входа, чтобы он был полностью функциональным.

    Регистрация сертификата

    1. Откройте консоль «Сертификаты», введя certmgr.msc в меню «Пуск»
    2. Щелкните правой кнопкой мыши Личный, выберите Все задачи, а затем — Запросить новый сертификат.
    3. Следуйте инструкциям и при появлении списка шаблонов выберите поле Проверка входа с виртуальной смарт-картой доверенного платформенного модуля (или любое имя шаблона на шаге 1).
    4. При появлении запроса на ввод устройства выберите виртуальную смарт-карта Майкрософт, соответствующую созданной в предыдущем разделе. Он отображается как устройство идентификации (профиль Майкрософт)
    5. Введите ПИН-код, который был установлен при создании виртуального смарт-карта доверенного платформенного модуля, а затем нажмите кнопку ОК.
    6. Дождитесь завершения регистрации, а затем нажмите кнопку Готово.

    Виртуальный интеллектуальный карта теперь можно использовать в качестве альтернативных учетных данных для входа в домен. Чтобы убедиться, что конфигурация виртуальной интеллектуальной карта и регистрация сертификата успешно завершены, выйдите из текущего сеанса, а затем выполните вход. При входе вы увидите значок нового виртуального смарт-карта доверенного платформенного модуля на экране Secure Desktop (вход) или автоматически перейдете в диалоговое окно смарт-карта входа доверенного платформенного модуля. Щелкните значок, введите ПИН-код (при необходимости) и нажмите кнопку ОК. Вы должны войти в учетную запись домена.

    См. также

    • Общие сведения о виртуальных смарт-картах и их оценка
    • Использование виртуальных смарт-карт
    • Развертывание виртуальных смарт-карт

    Системная служба Смарт карты не отвечает на запросы

    не читается смарт-карта. При попытке зайти на налог.ру пишет «Смарт-карта не читается в устройстве чтения из-за конфликтов настройки ATR.»
    Драйвер Рутокен переустановлен. Служба Смарт-карт выполняется. https://forum.rutoken.ru/uploads/images/2021/05/91b7a7985f27713ad2fa72be62f8528f.jpg
    https://forum.rutoken.ru/uploads/images/2021/05/e902ed4d0cc6e36293dbcaf88ae9f0c4.jpg https://forum.rutoken.ru/uploads/images/2021/05/2ec45b78836572356a9fdaefcebc878d.jpg

    Что еще можно сделать? Спасибо

    #2 Ответ от Фатеева Светлана 2021-05-26 10:53:06

    • Фатеева Светлана
    • Техническая поддержка
    • Неактивен
    Re: Системная служба Смарт карты не отвечает на запросы

    Здравствуйте, zhulia,
    Воспользуйтесь пожалуйста инструкцией по переустановке службы Смарт-карт из нашей Базы Знаний.
    Уточните на каком носителе записана ваша электронная подпись? На рутокене или обычной флешке?

    #3 Ответ от zhulia 2021-05-27 11:53:02

    Re: Системная служба Смарт карты не отвечает на запросы

    Добрый день,
    переустановка по инструкции не помогла.
    ЭЦП записана на флешке.

    #4 Ответ от Фатеева Светлана 2021-05-27 12:14:18

    • Фатеева Светлана
    • Техническая поддержка
    • Неактивен
    Re: Системная служба Смарт карты не отвечает на запросы

    Есть ли возможность удаленно подключиться к Вашему компьютеру?
    Подключиться можем через TeamViewer Quick Support или AnyDesk или AmmyyAdmin.
    Если есть другая запущенная версия TeamViewer — перед запуском нашей утилиты их необходимо закрыть. Иначе, мы не сможем подключиться.
    После запуска утилиты сообщите в этой ветке форума или письмом на hotline@rutoken.ru о готовности к подключению.

    #5 Ответ от asoldatov 2021-05-27 13:48:34

    Re: Системная служба Смарт карты не отвечает на запросы

    zhulia, день добрый.
    Если Вы используете СКЗИ «КриптоПро CSP» версии 5.0 для работы — можно скопировать ключевой контейнер с флешки (директория sagrtill.000, если не ошибаюсь) в %localappdata%\Crypto Pro

    После этого — переустановить сертификат с привязкой к ключу, в соответствие с вариантом №1 инструкции и проверять работоспособность.

    #6 Ответ от Tim 2023-03-09 11:39:06

    Re: Системная служба Смарт карты не отвечает на запросы

    В ОС Win 11 22Н2 64-бита так и не смог полечить(https://dev.rutoken.ru/display/KB/PU1020 не помогло), вроде по реестру путь до служб такой же как в Win 10. Сама служба падает после запуска через 1мин, в журнале Win ничего путного нет. Антивиров нет, не по RDP. scannow /sfc тоже ничего не нашел. Возможно кривая ОС. Если будут решения пинганите.

    #7 Ответ от Фатеева Светлана 2023-03-09 12:12:29

    • Фатеева Светлана
    • Техническая поддержка
    • Неактивен
    Re: Системная служба Смарт карты не отвечает на запросы

    Здравствуйте, Tim,
    Уточните пожалуйста какую модель Рутокен вы используете?

    #8 Ответ от gluhov 2023-03-19 22:46:23 (2023-03-19 22:49:05 отредактировано gluhov)

    Re: Системная служба Смарт карты не отвечает на запросы

    https://forum.rutoken.ru/uploads/images/2023/03/2d6dd7bd72a82caa58471c9a966766f1.png

    windows 11 «системная служба смарт-карты не отвечает на запросы. Операции с токенами по этой причине невозможны»

    служба запущена, LOCAL SERVIS выбран
    не видит рутокены
    Как исправить?

    #9 Ответ от Фатеева Светлана 2023-03-20 10:29:53

    • Фатеева Светлана
    • Техническая поддержка
    • Неактивен
    Re: Системная служба Смарт карты не отвечает на запросы

    Здравствуйте, gluhov,
    Уточните пожалуйста какую модель Рутокен вы используете?

    #10 Ответ от gluhov 2023-03-21 23:53:55

    Re: Системная служба Смарт карты не отвечает на запросы

    любую, это появляется даже без рутокена, и ни lite, ни 2.0 никакой не видит

    #11 Ответ от Фатеева Светлана 2023-03-22 09:28:22

    • Фатеева Светлана
    • Техническая поддержка
    • Неактивен
    Re: Системная служба Смарт карты не отвечает на запросы

    gluhov,
    в Диспетчере устройств токены отображаются без ошибок?
    Попробуйте в «Панели управления Рутокен» на вкладке Настройки изменить количество считывателей Рутокен S на 1 и нажмите Изменить. После этого подключите Рутокен к компьютеру и проверьте его работу.

    #12 Ответ от gluhov 2023-03-22 19:28:09

    Re: Системная служба Смарт карты не отвечает на запросы

    Фатеева Светлана пишет:

    gluhov,
    в Диспетчере устройств токены отображаются без ошибок?
    Попробуйте в «Панели управления Рутокен» на вкладке Настройки изменить количество считывателей Рутокен S на 1 и нажмите Изменить. После этого подключите Рутокен к компьютеру и проверьте его работу.

    Помогло! Спасибо огромное!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *