Электронно-цифровая подпись (ЭЦП) и токены, как средство ее хранения, плотно вошли в нашу жизнь, трудно представить себе предприятие, где нет хотя бы одной подписи. Другая распространенная технология — это удаленный рабочий стол (RDP), это может быть как сервер терминалов, так и просто доступ к рабочему месту сотрудника. Вполне ожидаемы попытки использовать обе эти технологии совместно, где и начинаются проблемы. В большинстве своем они проистекают от непонимания того, что такое токен, для чего он нужен и как с ним правильно работать.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Если мы говорим о токенах применительно к ЭЦП, то их основная задача — безопасное хранение закрытого ключа. Компрометация закрытого ключа равносильна полной утере подписи, так как с его помощью любой желающий может совершать от вашего имени юридически значимые действия. Использование усиленной квалифицированной электронной подписи (УКЭП) равносильно нотариально заверенной собственноручной подписи владельца. Начиная с 2022 года УКЭП выдается ФНС в единственном экземпляре, тем самым завершив эпоху зоопарка подписей, когда одно и тоже лицо (юридическое или физическое) могло иметь кучу подписей от разных УЦ, каждая из которых использовалась для собственного сервиса.
Как настроить удаленный рабочий стол по RDP через интернет
Но мы немного отклонились от темы. Но, благодаря этому отступлению можно понять, что ЭЦП — это очень важно и к ее безопасности следует относиться серьезно. Токены решают одну простую задачу — не допустить выход закрытого ключа за свои пределы. При любых криптографических операциях закрытый ключ не покидает пределов токена и не может быть просто так оттуда скопирован. В этом его основное отличие от таких хранилищ ЭЦП как флеш-карта или реестр, откуда ключи можно легко извлечь при наличии доступа.
Учитывая важность ЭЦП сложилась следующая парадигма — токен это индивидуальное аппаратное средство подписи и аутентификации, а сама идея удаленного доступа к нему идет вразрез со всеми представлениями о безопасности.
Начиная с Windows Vista при подключении к компьютеру при помощи RDP работа со смарт-картами и токенами, подключенными к удаленной машине невозможна.
Чтобы лучше разобраться в этом вопросе давайте проведем некоторые практические эксперименты. Мы будем использовать в них токены JaCarta, но это не имеет никакого значения, аналогично будут вести себя любые токены от любого производителя.
Подключим токен непосредственно к серверу терминалов и подключимся к нему интерактивно, т.е. через локальную консоль. В системе токен определяется как смарт-карта и устройство чтения смарт-карт.
Как настроить удаленный рабочий стол через RD Client?
Родное ПО также видит токен и сертификаты на нем:
А теперь подключимся к этому же серверу по RDP, нас ожидает совершенно иная картина, хотя Диспетчер устройств будет продолжать нам показывать присутствие токена в системе:
Как мы уже писали выше, из RDP-сессии доступ к токенам и смарт-картам, подключенным к удаленному устройству невозможен!
Если же мы подключим токен к локальному компьютеру и снова подключимся к удаленному серверу, то увидим, что ПО на сервере видит токен и может полноценно с ним работать. При этом на локальном компьютере не нужно устанавливать ПО для токена, если вы будете работать с ним только удаленно. Обратите внимание, что Диспетчер устройств не показывает подключенного к серверу устройства.
У многих здесь может возникнуть вопрос: а безопасно ли это? Пробрасывать токен на сервер? Да, безопасно, потому что пробрасывается стандартное устройство смарт-карта и все последующее взаимодействие идет именно с этим устройством, а критически важная информация, такая как закрытый ключ, ни при каких обстоятельствах не покидает пределы токена.
А если пользователей несколько и у каждого свой токен со своей ЭЦП? Ничего страшного, система предоставляет эффективную изоляцию токена в пределах сеанса. Берем еще один токен, подключаем ко второму компьютеру и соединяемся с сервером, как мы и ожидали, в текущей сессии пользователь видит только свой ключ.
Поэтому единственный правильный вариант сочетания ЭЦП расположенной на токенах и удаленного рабочего стола (RDP) — это расположение токена на клиенте с последующим пробросом устройства смарт-карты на терминальный сервер. С настройками по умолчанию это происходит автоматически, в противном случае проверьте, что у вас разрешен проброс смарт-карт как на клиенте, так и на сервере.
Но иногда все-таки бывают задачи, которые требуют использовать токен удаленно, в этих случаях следует использовать иные средства удаленного доступа, предполагающие подключение к текущему консольному сеансу. Последнее условие важно, сеанс к которому вы будете подключаться должен быть создан на сервере локально, а не через удаленный доступ.
Потому что даже если мы запустим TeamViewer или аналогичное ПО в RDP-сеансе, то мы не увидим токена, а попытавшись закрыть удаленный сеанс потеряем с ним связь.
Если же мы выполним локальный вход на сервер и запустим в рамках этого сеанса средство удаленного доступа, то токен снова будет доступен.
Как видим, если понимать основные принципы работы токенов при RDP-подключении, то никаких сложностей по работе с ними нет. Если необходим удаленный доступ, то вместо RDP используем иные средства, позволяющие непосредственно подключаться к локальному сеансу. Ну и не забываем, что ЭЦП — это большая ответственность и вопросы безопасности должны стоять на первом месте.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Или подпишись на наш Телеграм-канал:
Источник: interface31.ru
Как исправить ошибку «не удается подключиться к удаленному компьютеру»
Если Вы вводите правильный логин/пароль, но видите ошибку в окне RDP «не удается подключиться к удаленному компьютеру», то вероятнее всего возникает проблема с недоступностью или блокировкой портов. Уже более четырех лет пользователи «воюют» с этой неисправностью. А началось всё из-за одного апдейта Windows, устанавливающих новый уровень защиты соединения. Хотите узнать о всех возможных решениях, которые помогут избавиться от дефекта?
Причины и последствия
Как только на компьютерах было установлено обновление KB2992611, у многих юзеров при попытке установить соединение отображалось подобное сообщение. Стоит отметить, что подобное поведение характерно для любой из существующих версий Виндовс, начиная с XP. В Microsoft выпустили парочку обнов для улучшения безопасности, но это повлекло за собой серию побочных эффектов наподобие того, о котором идёт речь в данной статье. Вот еще несколько факторов, которые могут провоцировать появление ошибки:
- На ноутбуке (ПК) установлена одно из следующих приложений – Vipnet, CryptoPro (КриптоПРО);
- Используются сторонние программы для шифрования данных;
- Отсутствуют актуальные обновления Windows 7 8 10;
- Произошел сбой, нарушивший целостность системы.
Причин несколько – суть одна: не удается подключиться к удаленному компьютеру, повторите попытку. Конечно же, этот совет не поможет, сколько бы раз Вы не пытались. Поэтому, переходим к решениям.
Как исправить ошибку RDP?
Будем рассматривать способы, исходя из перечисленных выше факторов. Чаще всего проблема вызвана наличием стороннего софта. Попробуйте удалить ВипНет (VipNet), а затем скачать с официального сайта самую актуальную версию и снова установить. Если не сработало, то стоит задуматься об использовании аналогов. Об этом будет сказано в конце поста.
После деинсталляции обязательно очистите следы приложения на дисках и в реестре. Руками ничего делать не нужно, достаточно установить любой оптимизатор из списка. К примеру, CCleaner (кликнув по ссылке сможете не только скачать ПО, но и посмотреть видео инструкцию).
Работа с апдейтами
Следует добиться того, чтобы в Виндовс присутствовали все актуальные обновления, необходимые для безопасного подключения к удаленному компьютеру. Обязательно скачайте с официального сайта Майкрософт и установите следующие наборы:
Здесь доступно 2 элемента – выбирайте и качайте оба.
В итоге на ПК будут загружены 3 файла формата MSU, которые просто запускаете поочередно, дожидаетесь завершения процедуры копирования и затем перезагружаете систему.
Некоторые форумчане наоборот писали, что им помогло удаление апдейтов Windows. Для этого стоит перейти в «Панель управления», затем открыть «Программы и компоненты» и слева кликнуть по пункту «Установленные обновления». Осталось только найти в перечне (KB2992611), избавиться от него:
Попробуйте еще скачать RDP – вот ссылка на обнову с оф.сайта.
Полезный контент:
- Как отключить обновления Windows 7 навсегда или временно
- Как вынести Мой Компьютер на рабочий стол Windows 10
- Как исправить ошибку kernelbase.dll
- Устраняем ошибку Werfault.exe
- Как восстановить либо удалить стандартные программы Windows 10
Изменения уровня шифрования
Это не самый корректный вариант, но если другое не сработало, то стоит прибегнуть к такому способу.
- Открываем «Панель управления» — можно через Пуск Windows 7 или строку поиска Windows 10:
- Выбираем режим просмотра «Крупные значки» в правом верхнем углу и затем кликаем по «Администрированию»:
- Ищем «Удаленный раб. стол», затем «Конфигурацию узла… удаленного раб. стола». Открываем настройки для сервера и на общей вкладке следует изменить пару опций – устанавливаем «Уровень безопасности RDP», а шифрование – «Низкий» уровень:
Альтернативный софт
Существует множество утилит, позволяющих подключаться к стороннему ПК. Самым распространенным и простым является TeamViewer.
Я уже рассказывал о нём в одной из предыдущих публикаций. Поэтому, не буду повторятся. Кому интересно – вот ссылка.
ПО реально простое в настройке и эксплуатации. Имеет приятный интерфейс на русском языке. Единственный момент, о котором стоит знать – чтобы не возникало проблем с соединением, следует использовать одинаковые версии программы как на Вашем ПК, так и на удаленном.
Источник: it-tehnik.ru
Как продолжить выполнение программ на Windows Server 2008 после завершения сеанса удалённого рабочего стола?
Сейчас работаю над одним проектом, в котором есть десктопное приложение, делающее скриншоты определённых сайтов (таково требование заказчика, и изменить тут ничего нельзя). Приложение это работает под Windows, установили его на VPS на Windows Server 2008.
Проблема заключается в том, что приложение выполняет действия только тогда, когда запущен активный сеанс удаленного рабочего стола. Если я делаю Log Out или Lock на удалённом рабочем столе приложение перестаёт отправлять данные на сервер. Судя по всему это происходит потому что отключается графический режим после завершения сеанса.
Поскольку я не силён в системном администрировании, можете, пожалуйста, помочь решить данную проблему? Как сделать так, чтобы визуальная среда Windows работала даже после завершения сеанса удалённого рабочего стола? Т.к. держать другой компьютер, который будет бесперебойно работать с открытым удалённым рабочим столом не вариант.
Спасибо за помощь.
- Вопрос задан более трёх лет назад
- 12050 просмотров
Источник: qna.habr.com