Техническая поддержка рутокен. Запрет входа без виртуальной смарт-карты
Сегодняшний рассказ о возможности создания и использования виртуальных смарт-карт (Virtual Smart Cards) в Windows 8 Enterprise и Windows 8 Pro. Только эти издания Windows 8 поддерживают функцию Шифрование диска BitLocker , которая необходима для виртуальных смарт-карт в составе Windows 8.
Виртуальные смарт-карты - это новая, но очень своевременная функция для Windows, учитывая, как просто посмотреть на чужой пароль от локальной учетной записи. Кто не в курсе, пусть наберет в любой поисковой системе слово mimikatz. В этом нет ничего плохого, чем чаще мы его будем набирать, тем быстрей Microsoft задумается о необходимости решить эту проблему. Если про недостатки не говорить, это не значит, что их нет. Ниже на картинке представлен результат работы этой утилиты в Windows 8.
Но не все так плохо и сегодня, если использовать для входа в систему виртуальную смарт-карту. В этом случае мы защищены.
Правда, и тут не без сложностей – в дополнение к Windows 8 нужен особый компьютер. Cмарт-карта, это, очень условно, всего лишь специальная микросхема, скрывающая, в том числе и ПИН-код доступа в операционную систему для локальной учетной записи. Для создания и использования виртуальной смарт-карты требуется компьютер, имеющий в своем составе модуль TPM.
Проверка наличия в компьютере модуля TPM
Итак, у нас есть Windows 8 Enterprise или Windows 8 Pro. Откроем Диспетчер устройств и убедимся, в наличии модуля TPM. В разделе Устройства безопасности находим Trusted Platform Module (модуль TPM) :
В этом случае вы можете использовать виртуальную смарт-карту.
Инициализация модуля TPM
TPM модуль на борту, но пока не выполняет никаких действий. Изначально, в новом компьютере, он всегда отключен. Открываем: Панель управления –> Шифрование диска BitLocker - в левом нижнем углу этого окна выбираем -> Администрирование доверенного платформенного модуля .
В раскрывшемся окне под заголовком Действие , нажимаем Подготовить TPM . Остальные функции пока не доступны.
Для проведения инициализации модуля TPM система предлагает перегрузить компьютер. Перед новым стартом системы, открывается текстовое окно для подтверждения инициализации модуля TPM. Это нормальная реакция со стороны BIOS.
Возможен такой вариант: TPM configuration change was required to State: Enable & Owner Install . Сразу предлагается на выбор: Reject (Отклонить) , или Execute (Выполнить) . Могут быть и другие варианты подобного запроса, но смысл будет один, это просьба подтвердить запрос на инициализацию.
Выбираем Execute (Выполнить) . Будьте внимательны, поскольку по умолчанию всегда предлагается Reject (Отклонить) . Если операция инициализации была подтверждена, то после загрузки Windows на экране возникает такое окно:
Вставляем USB-накопитель и сохраняем на него пароль. На этом все. Инициализация модуля TPM завершена. Кстати, по сравнению с Windows 7 процесс инициализации модуля TPM в Windows 8 упростился. В Windows 7 была более длинная дорога c различными вопросами.
Видим, что все стрелочки у возможных действий с модулем TPM стали ярко зелеными, пункты меню черными (Enable) , то есть все функции в Администрировании доверенного платформенного модуля доступны, а в разделе состояние присутствует надпись: Модуль TPM готов к использованию . Можно приступить к главному на сегодня, созданию виртуальной смарт-карты.
Создание виртуальной смарт-карты
В командной строке, запущенной с правами администратора, выполняем:
Tpmvscmgr.exe create /name tpmvsc /pin default /adminkey random /generate
По завершению этого процесса видим установленный для нас по умолчанию ПИН-код и надпись “Смарт-карта доверенного платформенного модуля создана”. Пока все просто.
В Диспетчере устройств проверяем наличие виртуальной смарт-карты (tpmvsc) в "Устройствах чтения смарт-карт" .
На сайте Microsoft есть хороший документ: Understanding and Evaluating Virtual Smart Cards . В нем приведено полное описание использования виртуальныx смарт-карт, но только применительно к компьютерам входящим в домен корпоративной сети. Дело в том, что для последующего использования созданной карты нужен сертификат, который должен быть получен из доверенного центра в домене. Для других случаев (домашний ПК) в документации ничего нет. Непонятно, что делать, если есть желание отказаться от использования пароля от локальной учетной записи и входить на личный ПК с ПИН-кодом от виртуальной смарт-карты. Об этом как раз дальше.
Нам необходимо получить сертификат для виртуальной смарт-карты локальной учетной записи на компьютер, не включенный в домен корпоративной сети.
Формирование сертификата
Мир большой, и он не без добрых людей. Берем на сайте http://www.mysmartlogon.com/products/eidauthenticate.html , в зависимости от разрядности системы, свободно распространяемую утилиту EIDInstall_0.5.0.3_x64.exe или EIDInstall_0.5.0.3_x86.exe. Закрываем глаза на то, что в перечне совместимых с ней устройств виртуальная смарт-карта от Microsoft пока отсутствует.
Устанавливаем программу EIDAuthenticate и идем в Панель управления , Система и безопасность . Выбираем Smart Card Logon . В открывшемся окне указываем "Настройка нового набора учетных данных" и, выбрав Далее , формируем сертификат.
По дороге "Далее -> Далее" придется один раз ввести ПИН-код для карты и свой пароль от локальной учетной записи . В результате получим сертификат, привязанный к созданной виртуальной смарт-карте и к локальной учетной записи.
Но это еще не все. Необходимо изменить ПИН-код и запретить вход без виртуальной смарт-карты.
Изменение ПИН-кода виртуальной смарт-карты
Нажимаем Ctrl+Alt+Del. Выбираем изменить пароль. Заполняем все поля в открывшемся окне. К этому моменту Windows 8 уже знает, что для локальной учетной записи создана виртуальная смарт-карта. Вводим:
- пароль от локальной учетной записи;
- старый ПИН-код;
- новый ПИН-код (два раза).
Запрет входа без виртуальной смарт-карты
Для запрета входа без виртуальной смарт-карты изменяем одну из политик в параметрах безопасности локального компьютера. Включаем "Интерактивный вход в систему: требовать смарт-карту" .
Кто забыл или не знает как, внимательно смотрит на картинку, на ней маршрут, где это надо сделать. И все… C этого момента только правильный ПИН-код от виртуальной смарт-карты, продолжит открывать для нас богатый внутренний мир Windows 8. Пароль от локальной учетной записи или ввод графического пароля системой больше не принимается.
Описанный подход работает и при установке Windows 8 на внешний USB SSD диск. В этой версии, легальная возможность создания такого “носимого” варианта операционной системы, сделана Microsoft впервые. В этом случае, виртуальная смарт-карта привязывается к модулю TPM конкретного компьютера и Windows 8 стартует только с ним.
Для полного счастья, системный диск стоит зашифровать с помощью BitLocker. И никогда никому не узнать ваших секретов!
Did you mean the link I provided? Yes, I have checked.
I guess It"s might be your Activeclient software for CAC authentication is not included in the Windows 10 provider lists.
Since the correct process is as below:
How to assign default Credential Provider in Windows 10
Here you can see there are two sign-in options available to the user. If you minutely observe this login screen, you’ll find that PIN sign-in icon is selected by default, when you would have click Sign-in options link. This is because the PIN sign-in
provider is actually the default credential provider here.
You may need to sign-in as administrator to follow these steps.
Assign default Credential Provider in Windows 10
1. Press Windows Key + R combination, type regedit in Run dialog box and hit Enter to open the Registry Editor.
2. Navigate here:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
The list of registered credential providers and their GUIDs can be found here.
3. In the above-shown window, expand the Credential Providers key and you’ll see some long-named sub-keys. These long sub-keys are with their name as CLSID, corresponds to a specific credential provider. You’ve to highlight these sub-keys, one-by-one and in the corresponding right pane, checkout the Data for (Default) registry string. This will help you to identify which CLSID is for which provider. In this way, pick the default credential provider’s CLSID and note down it.
4. Now press Windows Key + R combination, type gpedit.msc in Run dialog box and hit Enter to open the Local Group Policy Editor.
5. In the Local Group Policy Editor window, go to:
Computer Configuration -> Administrative Templates -> System -> Logon
6. In the right pane of the above-shown window, look for the policy setting named Assign a default credential provider. The policy is Not Configured by default. Double click on it to get this window:
This policy setting allows the administrator to assign a specified credential provider as the default credential provider. If you enable this policy setting, the specified credential provider is selected on other user tile. If you disable or do not configure
this policy setting, the system picks the default credential provider on other user tile.
7. Finally, set the policy to Enabled state and in the Assign the following credential provider as the default credential provider input box, type the CLSID we noted down in step 3.
Click Apply followed by OK. You can close the Group Policy Editor and reboot to make changes effective.
Please remember to mark the replies as answers
if they help.
If you have feedback for TechNet Subscriber Support, contact
Manages access to smart cards read by your computer. If this service is stopped, your computer will be unable to read smart cards. If this service is disabled, any services that explicitly depend on it will fail to start.
Default Settings
| Startup type: |
|
||||||||||||||||||||||||||||||||||||||||||||||||
| Display name: | Smart Card | ||||||||||||||||||||||||||||||||||||||||||||||||
| Service name: | SCardSvr | ||||||||||||||||||||||||||||||||||||||||||||||||
| Service type: | share | ||||||||||||||||||||||||||||||||||||||||||||||||
| Error control: | normal | ||||||||||||||||||||||||||||||||||||||||||||||||
| Group: | SmartCardGroup | ||||||||||||||||||||||||||||||||||||||||||||||||
| Object: | NT AUTHORITY\LocalService | ||||||||||||||||||||||||||||||||||||||||||||||||
| Path: | %SystemRoot%\system32\svchost.exe -k LocalServiceAndNoImpersonation | ||||||||||||||||||||||||||||||||||||||||||||||||
| File: | %SystemRoot%\System32\SCardSvr.dll | ||||||||||||||||||||||||||||||||||||||||||||||||
| Registry key: | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardSvr | ||||||||||||||||||||||||||||||||||||||||||||||||
| Privileges: |
|
Default Behavior
Smart Card is a Win32 service. It is disabled in Windows 10 Home 1507, Windows 10 Pro 1507, Windows 10 Education 1507, Windows 10 Enterprise 1507, Windows 10 Home 1511, Windows 10 Pro 1511, Windows 10 Education 1511, Windows 10 Enterprise 1511, Windows 10 Home 1607, Windows 10 Pro 1607, Windows 10 Education 1607, Windows 10 Enterprise 1607, Windows 10 Home 1703, Windows 10 Pro 1703, Windows 10 Education 1703, Windows 10 Enterprise 1703, Windows 10 Home 1709, Windows 10 Pro 1709, Windows 10 Education 1709, Windows 10 Enterprise 1709. This service is starting only if the user, an application or another service starts it in 1803 Home, 1803 Pro, 1803 Education, 1803 Enterprise. When the Smart Card service is started, it is running as NT AUTHORITY\LocalService in a shared process of svchost.exe along with other services. If Smart Card fails to start, the failure details are being recorded into Event Log. Then Windows 10 will start up and notify the user that the SCardSvr service has failed to start due to the error.
Dependencies
Smart Card cannot be started under any conditions, if the Windows Driver Foundation - User-mode Driver Framework service is disabled.
Restore Default Startup Configuration for Smart Card
Before you begin doing this, make sure that all the services on which Smart Card depends are configured by default and function properly. See the list of dependencies above.1. Run the Command Prompt as an administrator.
2. Depending on the version of your operating system, copy the commands below, paste them into the command window and press ENTER.
For Windows 10 1507 Home, Windows 10 1507 Pro, Windows 10 1507 Education, Windows 10 1507 Enterprise, Windows 10 1511 Home, Windows 10 1511 Pro, Windows 10 1511 Education, Windows 10 1511 Enterprise, Windows 10 1607 Home, Windows 10 1607 Pro, Windows 10 1607 Education, Windows 10 1607 Enterprise, Windows 10 1703 Home, Windows 10 1703 Pro, Windows 10 1703 Education, Windows 10 1703 Enterprise, Windows 10 1709 Home, Windows 10 1709 Pro, Windows 10 1709 Education, Windows 10 1709 Enterprise:
sc stop SCardSvr
sc config SCardSvr start= disabled
For Windows 10 1803 Home, Windows 10 1803 Pro, Windows 10 1803 Education, Windows 10 1803 Enterprise:
sc config SCardSvr start= demand
3. Close the command window and restart the computer.
The SCardSvr service is using the SCardSvr.dll file that is located in the %WinDir%\System32 folder. If the file is changed, damaged or deleted, you can restore its original version from Windows 10 installation media.
Описание
При запуске "Панели управления Рутокен" на вкладке "Администрирование" возникает сообщение: "Нет доступа к системной службе "Смарт-карты". Дальнейшая работа невозможна. Если вы подключены через службу Удаленных рабочих столов (RDP), смотрите подробности "
Существует 2 причины возникновения этого сообщения:
1. Подключение производится через "Удаленный рабочий стол" (RDP). Рутокен вставлен в компьютер, к которому подключаются удаленно
Эта схема является неправильной. С подробным описанием можно ознакомиться в этой статье .
2. Проблема со службой "Смарт-карта"
При локальном подключении (или при правильном подключении по RDP) эта ошибка указывает на проблемы со службой "Смарт-карта".
Для решения воспользуйтесь одним из следующих способов:
Ручной
1. Убедитесь, что у веток реестра ("Пуск" - "Выполнить" - regedit)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\Readers
есть полный доступ у пользователя Local Service: ПКМ по нужной ветке - Разрешения - выбрать нужного пользователя(*) и поставить внизу галочку "Полный доступ"
(*) Если нужного пользователя в выборе нет - нужно его добавить:
Нажмите "Добавить"
В поле "Введите имена выбираемых объектов" введите LO
Нажмите "Проверить имена"
Выберите Local Service
2. Убедитесь, что Служба "Смарт-карта" запущена от имени NT AUTHORITY\LocalService ("Пуск" - "Панель управления" - "Администрирование" - "Службы").
Попробуйте Запустить/Перезапустить службу.
3. Если служба не работает/не запускается/не перезапускается - может понадобиться ее переустановка (Только системным администраторам!).
1) Win7, Vista, Win8/8.1, Win10
Запустите файл (smart-card-7) из вложения
Перезагрузите компьютер
Переустановите службу смарт-карт согласно инструкции из вложения (Smart-Card-XP)
Перезагрузите компьютер
4. Возможно какое-либо ПО может блокировать службу "Смарт-карта". Совместно с системным администратором произведите поиск ПО, которое может вызывать проблемы со службой "Смарт-карта".
5. Иногда ошибка может быть в самой операционной системе. Порой приходится переустанавливать сервис пак, или саму ОС .
Загрузка...
