Служба смарт карт windows 10 как запустить
Перейти к содержимому

Служба смарт карт windows 10 как запустить

  • автор:

Начало работы с виртуальными смарт-картами: пошаговое руководство

ключи безопасности Windows Hello для бизнеса и FIDO2 — это современные двухфакторные методы проверки подлинности для Windows. Клиентам, использующим виртуальные смарт-карты, рекомендуется перейти на Windows Hello для бизнеса или FIDO2. Для новых установок Windows рекомендуется Windows Hello для бизнеса или ключи безопасности FIDO2.

В этом разделе для ИТ-специалистов описывается настройка базовой тестовой среды для использования виртуальных смарт-карт доверенного платформенного модуля.

Виртуальные смарт-карты — это технология корпорации Майкрософт, которая обеспечивает сравнимые преимущества безопасности при двухфакторной проверке подлинности с физическими смарт-картами. Они также обеспечивают больше удобства для пользователей и более низкую стоимость развертывания для организаций. Используя устройства доверенного платформенного модуля (TPM), которые предоставляют те же возможности шифрования, что и физические смарт-карты, виртуальные смарт-карты обеспечивают три ключевых свойства, необходимые смарт-картам: неэкспортируемость, изолированная криптография и защита от молотка.

В этом пошаговом руководстве показано, как настроить базовую тестовую среду для использования виртуальных смарт-карт доверенного платформенного модуля. После выполнения этого пошагового руководства на компьютере Windows будет установлена функциональная виртуальная интеллектуальная карта.

Вы сможете выполнить это пошаговое руководство менее чем за один час, за исключением установки программного обеспечения и настройки тестового домена.

Пошаговое руководство

  • Предварительные условия
  • Шаг 1. Создание шаблона сертификата
  • Шаг 2. Создание виртуальной интеллектуальной карта доверенного платформенного модуля
  • Шаг 3. Регистрация для получения сертификата на виртуальной смарт-карте доверенного платформенного модуля

Эта базовая конфигурация используется только для тестовых целей. Он не предназначен для использования в рабочей среде.

Предварительные условия

  • Компьютер под управлением Windows 10 с установленным и полностью функциональным TPM (версия 1.2 или версия 2.0)
  • Тестовый домен, к которому можно присоединить указанный выше компьютер.
  • Доступ к серверу в этом домене с полностью установленным и работающим центром сертификации (ЦС)

Шаг 1. Создание шаблона сертификата

На сервере домена необходимо создать шаблон для сертификата, запрашиваемого для виртуальной интеллектуальной карта.

Создание шаблона сертификата

  1. На сервере откройте консоль управления (MMC). Один из способов сделать это — ввести mmc.exe в меню Пуск, щелкнуть правой кнопкой мышиmmc.exeи выбрать запуск от имени администратора.
  2. ВыберитеДобавить или удалить оснастку«Файл
  3. В списке доступных оснасток выберите Шаблоны сертификатов, а затем — Добавить.
  4. Шаблоны сертификатов теперь находятся в корневом каталоге консоли в MMC. Дважды щелкните его, чтобы просмотреть все доступные шаблоны сертификатов.
  5. Щелкните правой кнопкой мыши шаблон Входа смарт-карты и выберите Дублировать шаблон.
  6. На вкладке Совместимость в разделе Центр сертификации просмотрите выбранный элемент и при необходимости измените его.
  7. На вкладке Общие :
    1. Укажите имя, например Вход с виртуальной смарт-картой доверенного платформенного модуля
    2. Задайте для срока действия требуемое значение.
    1. Задайте для параметра Назначениезначение Подпись и вход со смарт-картой
    2. Выберите Запрос пользователя во время регистрации.
    1. Задайте для минимального размера ключа значение 2048.
    2. Выберите Запросы должны использовать один из следующих поставщиков, а затем выберите Microsoft Base Smart Card Crypto Provider

    Чтобы реплицировать шаблон на все серверы и стать доступным в этом списке, может потребоваться некоторое время.

    1. После репликации шаблона в MMC щелкните правой кнопкой мыши список Центр сертификации, выберите Все задачи, а затем выберите Остановить службу. Затем снова щелкните правой кнопкой мыши имя ЦС, выберите Все задачи, а затем — Запустить службу.

    Шаг 2. Создание виртуальной интеллектуальной карта доверенного платформенного модуля

    На этом шаге вы создадите виртуальную интеллектуальную карта на клиентском компьютере с помощью средства командной строки Tpmvscmgr.exe.

    Создание виртуальной интеллектуальной карта доверенного платформенного модуля

    1. На присоединенном к домену компьютере откройте окно командной строки с учетными данными администратора.
    2. В командной строке введите следующее и нажмите клавишу ВВОД:

    tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

    При этом создается виртуальная интеллектуальная карта с именем TestVSC, опускается ключ разблокировки и создается файловая система на карта. Для ПИН-кода задано значение по умолчанию, 12345678. Чтобы получить запрос на ввод ПИН-кода, вместо параметра /pin по умолчанию можно ввести /pin prompt.
    Дополнительные сведения о средстве командной строки Tpmvscmgr см. в разделе Использование виртуальных смарт-карт и Tpmvscmgr.

    1. Подождите несколько секунд, пока процесс завершится. По завершении Tpmvscmgr.exe предоставляет идентификатор экземпляра устройства для виртуальной смарт-карты доверенного платформенного модуля. Сохраните этот идентификатор для последующего использования, так как он нужен для управления виртуальным интеллектуальным карта или удаления его.

    Шаг 3. Регистрация для получения сертификата на виртуальной смарт-карте доверенного платформенного модуля

    Виртуальный интеллектуальный карта должен быть подготовлен с помощью сертификата входа, чтобы он был полностью функциональным.

    Регистрация сертификата

    1. Откройте консоль «Сертификаты», введя certmgr.msc в меню «Пуск»
    2. Щелкните правой кнопкой мыши Личный, выберите Все задачи, а затем — Запросить новый сертификат.
    3. Следуйте инструкциям и при появлении списка шаблонов выберите поле Проверка входа с виртуальной смарт-картой доверенного платформенного модуля (или любое имя шаблона на шаге 1).
    4. При появлении запроса на ввод устройства выберите виртуальную смарт-карта Майкрософт, соответствующую созданной в предыдущем разделе. Он отображается как устройство идентификации (профиль Майкрософт)
    5. Введите ПИН-код, который был установлен при создании виртуального смарт-карта доверенного платформенного модуля, а затем нажмите кнопку ОК.
    6. Дождитесь завершения регистрации, а затем нажмите кнопку Готово.

    Виртуальный интеллектуальный карта теперь можно использовать в качестве альтернативных учетных данных для входа в домен. Чтобы убедиться, что конфигурация виртуальной интеллектуальной карта и регистрация сертификата успешно завершены, выйдите из текущего сеанса, а затем выполните вход. При входе вы увидите значок нового виртуального смарт-карта доверенного платформенного модуля на экране Secure Desktop (вход) или автоматически перейдете в диалоговое окно смарт-карта входа доверенного платформенного модуля. Щелкните значок, введите ПИН-код (при необходимости) и нажмите кнопку ОК. Вы должны войти в учетную запись домена.

    См. также

    • Общие сведения о виртуальных смарт-картах и их оценка
    • Использование виртуальных смарт-карт
    • Развертывание виртуальных смарт-карт

    Смарт-карты для службы Windows

    В этом разделе для ИТ-специалистов и разработчиков интеллектуальных карта описывается, как служба смарт-карт для Windows (ранее называвшаяся Resource Manager смарт-карт) управляет средствами чтения и взаимодействия с приложениями.

    Служба Смарт-карт для Windows предоставляет базовую инфраструктуру для всех остальных компонентов интеллектуального карта, так как она управляет интеллектуальными карта средствами чтения и взаимодействия с приложениями на компьютере. Он полностью соответствует спецификациям, заданным рабочей группой PC/SC. Сведения об этих спецификациях см. на веб-сайте спецификаций рабочей группы PC/SC.

    Служба смарт-карт Windows выполняется в контексте локальной службы и реализуется как общая служба процесса узла служб (svchost). Служба «Смарт-карты для Windows» Scardsvr содержит следующее описание службы:

    Для вызова winscard.dll в качестве правильного установщика класса INF-файл для средства чтения смарт-карта должен указать следующие значения в параметрах Class и ClassGUID:

    По умолчанию служба настроена в ручном режиме. Создатели драйверов средства чтения смарт-карта должны настроить свои INF таким образом, чтобы служба запускалась автоматически, а файлы winscard.dll вызывают предопределенную точку входа для запуска службы во время установки. Точка входа определяется как часть класса SmartCardReader и не вызывается напрямую. Если устройство объявляет себя частью этого класса, точка входа автоматически вызывается для запуска службы при вставке устройства. Использование этого метода гарантирует, что служба будет включена при необходимости, но она также отключена для пользователей, которые не используют смарт-карты.

    При запуске служба выполняет несколько функций:

    1. Он регистрирует себя для уведомлений службы.
    2. Он регистрируется для уведомлений Plug and Play (PnP), связанных с удалением и добавлением устройства.
    3. Он инициализирует кэш данных и глобальное событие, которое сигнализирует о запуске службы.

    Для реализации смарт-карта рассмотрите возможность отправки всех сообщений в операционных системах Windows со средствами чтения смарт-карта через службу смарт-карт для Windows. Это обеспечивает интерфейс для отслеживания, выбора и взаимодействия со всеми драйверами, которые объявляют себя членами интеллектуальной карта группы устройств чтения.

    Служба Смарт-карт для Windows классифицирует каждый слот средства чтения смарт-карта как уникальное средство чтения, и каждый слот также управляется отдельно, независимо от физических характеристик устройства. Служба смарт-карт для Windows обрабатывает следующие действия высокого уровня:

    • Введение в устройство
    • Инициализация чтения
    • Уведомление клиентов о новых читателях
    • Сериализация доступа к модулям чтения
    • Интеллектуальный доступ к карта
    • Туннелирование команд для чтения

    Системная служба Смарт карты не отвечает на запросы

    не читается смарт-карта. При попытке зайти на налог.ру пишет «Смарт-карта не читается в устройстве чтения из-за конфликтов настройки ATR.»
    Драйвер Рутокен переустановлен. Служба Смарт-карт выполняется. https://forum.rutoken.ru/uploads/images/2021/05/91b7a7985f27713ad2fa72be62f8528f.jpg
    https://forum.rutoken.ru/uploads/images/2021/05/e902ed4d0cc6e36293dbcaf88ae9f0c4.jpg https://forum.rutoken.ru/uploads/images/2021/05/2ec45b78836572356a9fdaefcebc878d.jpg

    Что еще можно сделать? Спасибо

    #2 Ответ от Фатеева Светлана 2021-05-26 10:53:06

    • Фатеева Светлана
    • Техническая поддержка
    • Неактивен
    Re: Системная служба Смарт карты не отвечает на запросы

    Здравствуйте, zhulia,
    Воспользуйтесь пожалуйста инструкцией по переустановке службы Смарт-карт из нашей Базы Знаний.
    Уточните на каком носителе записана ваша электронная подпись? На рутокене или обычной флешке?

    #3 Ответ от zhulia 2021-05-27 11:53:02

    Re: Системная служба Смарт карты не отвечает на запросы

    Добрый день,
    переустановка по инструкции не помогла.
    ЭЦП записана на флешке.

    #4 Ответ от Фатеева Светлана 2021-05-27 12:14:18

    • Фатеева Светлана
    • Техническая поддержка
    • Неактивен
    Re: Системная служба Смарт карты не отвечает на запросы

    Есть ли возможность удаленно подключиться к Вашему компьютеру?
    Подключиться можем через TeamViewer Quick Support или AnyDesk или AmmyyAdmin.
    Если есть другая запущенная версия TeamViewer — перед запуском нашей утилиты их необходимо закрыть. Иначе, мы не сможем подключиться.
    После запуска утилиты сообщите в этой ветке форума или письмом на hotline@rutoken.ru о готовности к подключению.

    #5 Ответ от asoldatov 2021-05-27 13:48:34

    Re: Системная служба Смарт карты не отвечает на запросы

    zhulia, день добрый.
    Если Вы используете СКЗИ «КриптоПро CSP» версии 5.0 для работы — можно скопировать ключевой контейнер с флешки (директория sagrtill.000, если не ошибаюсь) в %localappdata%\Crypto Pro

    После этого — переустановить сертификат с привязкой к ключу, в соответствие с вариантом №1 инструкции и проверять работоспособность.

    #6 Ответ от Tim 2023-03-09 11:39:06

    Re: Системная служба Смарт карты не отвечает на запросы

    В ОС Win 11 22Н2 64-бита так и не смог полечить(https://dev.rutoken.ru/display/KB/PU1020 не помогло), вроде по реестру путь до служб такой же как в Win 10. Сама служба падает после запуска через 1мин, в журнале Win ничего путного нет. Антивиров нет, не по RDP. scannow /sfc тоже ничего не нашел. Возможно кривая ОС. Если будут решения пинганите.

    #7 Ответ от Фатеева Светлана 2023-03-09 12:12:29

    • Фатеева Светлана
    • Техническая поддержка
    • Неактивен
    Re: Системная служба Смарт карты не отвечает на запросы

    Здравствуйте, Tim,
    Уточните пожалуйста какую модель Рутокен вы используете?

    #8 Ответ от gluhov 2023-03-19 22:46:23 (2023-03-19 22:49:05 отредактировано gluhov)

    Re: Системная служба Смарт карты не отвечает на запросы

    https://forum.rutoken.ru/uploads/images/2023/03/2d6dd7bd72a82caa58471c9a966766f1.png

    windows 11 «системная служба смарт-карты не отвечает на запросы. Операции с токенами по этой причине невозможны»

    служба запущена, LOCAL SERVIS выбран
    не видит рутокены
    Как исправить?

    #9 Ответ от Фатеева Светлана 2023-03-20 10:29:53

    • Фатеева Светлана
    • Техническая поддержка
    • Неактивен
    Re: Системная служба Смарт карты не отвечает на запросы

    Здравствуйте, gluhov,
    Уточните пожалуйста какую модель Рутокен вы используете?

    #10 Ответ от gluhov 2023-03-21 23:53:55

    Re: Системная служба Смарт карты не отвечает на запросы

    любую, это появляется даже без рутокена, и ни lite, ни 2.0 никакой не видит

    #11 Ответ от Фатеева Светлана 2023-03-22 09:28:22

    • Фатеева Светлана
    • Техническая поддержка
    • Неактивен
    Re: Системная служба Смарт карты не отвечает на запросы

    gluhov,
    в Диспетчере устройств токены отображаются без ошибок?
    Попробуйте в «Панели управления Рутокен» на вкладке Настройки изменить количество считывателей Рутокен S на 1 и нажмите Изменить. После этого подключите Рутокен к компьютеру и проверьте его работу.

    #12 Ответ от gluhov 2023-03-22 19:28:09

    Re: Системная служба Смарт карты не отвечает на запросы

    Фатеева Светлана пишет:

    gluhov,
    в Диспетчере устройств токены отображаются без ошибок?
    Попробуйте в «Панели управления Рутокен» на вкладке Настройки изменить количество считывателей Рутокен S на 1 и нажмите Изменить. После этого подключите Рутокен к компьютеру и проверьте его работу.

    Помогло! Спасибо огромное!

    Проблема со службой «Смарт-карта» при подключении по RDP

    1. Подключение производится через «Удаленный рабочий стол» (RDP). Рутокен вставлен в компьютер, к которому подключаются удаленно.

    Эта схема является неправильной. С подробным описанием можно ознакомиться в этой статье.

    2. Проблема со службой «Смарт-карта».

    При локальном подключении (или при правильном подключении по RDP) эта ошибка указывает на проблемы со службой «Смарт-карта».

    Для решения воспользуйтесь следующим алгоритмом:
    1. Убедитесь, что у веток реестра (Пуск — Выполнить — regedit)

    есть полный доступ у двух пользователей: Local Service и текущий пользователь (под которым осуществлен вход): щелкните правой кнопкой мыши по необходимой ветке, выберите пункт Разрешения, выберите нужного пользователя(*) и установите внизу галочку Полный доступ.

    (*) Если нужного пользователя в выборе нет — нужно его добавить:

    В поле Введите имена выбираемых объектов введите LO.

    Нажмите Проверить имена.

    Выберите Local Service.

    2. Убедитесь, что Служба «Смарт-карта» запущена от имени NT AUTHORITY\LocalService (Пуск — Панель управления — Администрирование — Службы).

    Попробуйте Запустить/Перезапустить службу.

    Если служба не работает/не запускается/не перезапускается — может понадобиться ее переустановка.
    Переустановите службу смарт-карт и перезагрузите компьютер.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *