День добрый.

Выкатил нам один из банков прикол - обязал перейти с ключей на диске на токены (смарт-карты).
Все бы ничего, но с этим КБ привыкли работать в разделенном режиме. Более того, люди мало того, что работают на терминальном сервере, так еще и из разных городов и даже стран. Но токен виден в терминале только тому, кто его воткнул в свою рабочую станцию с которой идет подключение к терминалу. Остальные курят бамбук (часто за тысячи километров).

Банк рекомендует выделить одного человека, который будет работать с токенами, а остальные должны ему говорить что делать и когда. Но это беда жеж...

Если токен воткнуть напрямую в сервак, то его увидят только те, кто напрямую на серваке работает, а для RDP-подключений их не будет видно.

Может есть вариант проброски токенов по RDP так, что бы их видели все?

Заранее Спасибо!

99% что нет

Установить на сервере терминалов вмваре, в котором поднять винду, и пробросить туда usb с токеном. А пользователи будут работать с виртуальными машинами, которые и знать не знают, что работают на сервере терминалов.

юсб через айпи? или ключ в реестр. или токены с одноразовым пином

(3) Проблема не в usb, а в том что при работе из rdp-сеанса аппаратно заблокированы функции криптоключей, непосредственно воткнутых в сервер. То есть, по usb в списке устройств их видно, но они не работают.

(3) токены простешие  - типа флешки.
(2) так токен виртуалка как увидит? откуда ей на него смотреть?

(4) Не аппаратно, а программно, конечно же..

(5) Так же как видит хасп-ключи, подключенные к серверу. Как usb-устройство, проброшенное с хоста в гостевую ОС.

(7) Хасп ключи на ружу выставлены службой, для этого работающей, для токенов такой хрени нет

(7) ээээ... ну ща потестю. но нужен жеж какой-то сервис или служба? или нет???
Но тогда доп условие в задачу )) Сервак физически не под столом, а в колокейшене. Реальная железака в реальном датацентре или виртуальная машина в условном амазон-клауде. т.е. теоритически я могу конечно мотнуться в соседний город и воткнуть в сервак токен, но хочется что бы втыкание происходило в рабочую станцию, которая подключается к серваку. А то я ездить задолбаюсь )

(9) Есть сторонние платные решения USB-over-IP.

(9) На 99% что не поможет. С токенами отдельная песня на терминалах.
Даже если терминалом в консоль подключаться, с ключом /admin

(0) А вообще это не прикол, а так и должно быть. Токен должен выдаваться персонально, под личную ответственность, за все операции с ним совершенные.

(12) Hint: у банка можно (и нужно) попросить несколько токенов.

(0) USB over IP или воткни токен в сервер физический.
Еще есть вариант это снять дамп токена и в эмулятор его но это уже не совсем законно, точнее надо читать договор с банком.

(0) Скажи где работаешь. Устроюсь, переведу себе премию в пару тройку лямов со счета конторы .

(15) Ты готов за 2-3 ляма (рублей) присесть на 5 лет?

(0) для вин экспи и для 7ки есть патч (подмена пары dll). Там суть такая криптомодуль "думает", что с ним работают не в терминале. Для серверов хз. Выше 7ки патча не видел.

Патчится 2 файла:
SCardSvr.dll
WinSCard.dll

(16) Уговорил, лярд сразу.
Шутки шутками, а дырень в безопасности такая не нехилая.

(18) Искал этот патч, что-то нашел, но не заработало.
Разработчик давно прикрыл эту тему.
Есть что рабочее и проверенное?

(18) тоже искал - не взлетело.
(12) конечно это правильно, но ты это бухам объясни ))
(10) не нашел... если попадались - можно ссыль? Заранее Спасибо!

(21) А как искал? Гугл попробуй.

есть принт сервер,который реализует usb over ip,позволяя одному из клиентов подключиться к устройству и использовать его монопольно.
даже с йотой работало.

(0) Токен вероятно содержит криптоконтейнер, с именным сертификатом. По уму его должен использовать тот на кого сертификат выдан. В крайнем случае тот кому токен передан. Общий доступ без контроля это плохо. Приблизительно так же плохо как лежащие в приёмной фирменные бланки с подписью директора куда каждый может вписать свой текст.

Если с банком работает разумное количество пользователей то можно запросить сертификаты на всех пользователей. Это не дорого или даже бесплатно.

(12) Токен и выдаётся под личную ответственность того на кого сертификат выдан. По закону недоступность закрытого ключа он должен обеспечить. Но на практике могут быть нюансы.

апну как я темку.
может кто-то еще чего посоветует ))

платные решения за вменяемые разовые деньги тоже пойдут. Но их гугл выдает много. Может кто что подобное юзал/юзает?

(26) Проброс через usb/ip не решит проблему.
Пробрасывал Рутокен с Юбунту на Винду, чтобы рса для Егаис перешить.
Но USB/IP хочет монопольного доступа, чтобы достучаться пришлось останавливать демона Рутокен на Юбунте.
Коммерческая версия USB Redirector тоже предупреждает об этом: https://www.incentivespro.com/helps/usb-redirector/features_inactivity_timeout.htm
Так что пробросить ключ по получится, а вот работать одновременно нет.
Разве что по очереди, но это все равно не то что нужно.

Патч SCardSvr.dll и WinSCard.dll скорее всего тоже не поможет, если будут запросы к ключу с разными параметрами,  думаю, адские глюки неизбежны.

Писали программу, что то типа Амми админа и Тимвьевер. Но работать мог один пользователь.

(26) Выдрать сертификаты с ключей, и влепить в личнное хранилище юзерам на рдп сервере

(29) Это банковские токены. В банках с легко копируемми закрытыми ключами лет десять борьба ведётся. И банковские безопасники всегда были против того что закрытый ключ можно легко скопировать и по слухам ФСБ тоже против.
В лучшем случае выставлен флаг некопируемости. В этом случае теоретически можно скопировать, патчить криптопровайдер или пытаться закрытый ключ из памяти вытащить. Доступные сисадмину методы закончились лет восемь назад. Но там скорее всего всё ещё хуже, не флаг некопируемости выставлен а ключ не копируемый. Ключевая пара создана таким образом что нет документированного способа экспортировать закрытый ключ. Мало шансов что топикстартеру доступны недокументированные способы. Тогда только атаки по побочным каналам всякие.

У некоторых банков можно попросить копируемый ключ. Технически они могут.

Но смысла нет. Правильный ответ уже дали. Попросить у банка бесплатно или за деньги сертификаты на всех или на часть пользователей и выдать им полномочия юридически которые у них уже есть фактически.

(30) Банки не идут на дубляж ключей, ни разу не видел такого.
На днях выдирал контейнеры "некопируемых" ключей от маркировки, с токенов. Причем все штатными средствами, без патчинга провайдера и лома памяти, так что инфа про закончились и лет восемь назад - неверна.
Банковские безопасники и фейсы могут быть против, за; могут все что захотят. Это не меняет текущие реалии. И да, от методики создания пары на токене ничего не зависит - выдираем контейнер целиком.

(31) Забавно.
Как это делается, хотя бы какими инструментами?
Если не секрет, какой банк?

(32) "от маркировки, с токенов"

(33)
Так это не банк. Отчётность всякая в госорганы.
У вас там другой мир со своими правилами игры.
С чего вы взяли что у вас там есть хоть какая-то некопируемость?

У топикстартера банк:"Выкатил нам один из банков прикол..."

(33) а можно чуть подробнее про "от маркировки, с токенов"? плиз

копируемость и некопируемость определяется настройками токена.
собственно,ключевой контейнер,это блок памяти в несколько килобайт,и если токен криптооперации не внутри себя проводит,то он передает ключи для выполнения операций.

(36) ...каторые можно перехватить на выходе? прально?

(34) Яйца те же, только в профиль. Некопируемость есть, выставляют флажок по поводу и без (

(37) Вот это глянь, может подойдет: http://soft.lissi.ru/solution/ls11cloud/
У них много статей https://habr.com/ru/search/?target_type=posts&q=[pkcs11]&order_by=date по этим вопросам.

(37) Большинство банковских токенов закрытый ключ наружу не отдают и все операции с закрытым ключом проделывают внутри "флешки".
Наиболее продвинутые вдобавок к этому умеют шифровать канал связи между приложением и токеном но я подозреваю что это банкам не особо нужно.

(38) Я по прежнему не понимаю почему вы считаете что у вас ключи не копируемые. Если вы получили "флешку" в банке то по умолчанию закрытый ключ или некопируемый или трудно копируемый, но если  в удостоверяющем центре то по умолчанию закрытый ключ легко копируемый. В УЦ можно получить и некопируемый, но это отдельные деньги, отдельный геморрой в сравнении с которым часто деньги уже не так важны, частичная потеря совместимости и в итоге как правило не нужно никому.

(39) Скорее всего "облачный токен" потребует поддержки со стороны банка.

(40) Крипто провайдер напрямую пишет мол не могу, ключ некопируемый

(41) Я вижу два основных варианта:
1. При копировании не копируется закрытый ключ. Но поскольку закрытый ключ доступен всё работает.
2. Какой-то способ скопировать криптоконтейнер без использования криптопровайдера. Поскольку при работе ключ в память загружается это возможно. Это наиболее интересный вариант. На случай очередных проблем с Казначейством. Любопытно как именно.

И ещё один вариант, токена нет а есть съёмный диск. Тогда криптопровайдер откажется копировать закрытый ключ если выставлен флаг некопируемости. Но операционной системе эти все флаги глубоко безразличны, она о них даже не знает, для неё это просто файлы и копируются они как файлы.

(40) А черт его знает. Может и сработает, т.к. алгоритмы по ГОСТ у них вроде все реализованы.
Пробовать нужно, статьи их читать... Много чего интересно у них на Хабре написано, в том числе и по поводу неизвлекаемости.

(43) я уже второй день извлекаю... пока по нулям. Причем как банковские, как и токены для доступу к сдаче отчетности какой-то государству.

(44) Странно. Для сдачи отчётности обычно по умолчанию копируемые штатными средствами.

Большая часть отчётности на самом деле делегируется. То есть нужно не копировать криптоконтейнер а оформить документы. Типа сдача отчётности в Росстат поручена Иванову И.И., на Иванова И.И. выпускается сертификат. Иванов И.И. получает на руки "флешку" и инструкцию куда эту шнягу втыкать и куда не втыкать. В случае косяков с ИВанова И.И. можно спросить. Полномочия ограничены. И если злые хакеры украли закрытый ключ то они могут от вашего имени отправить отчётность в Росстат, могут не отправлять, но больше не могут ничего.  Генеральный с практически неограниченными полномочиями по уставу типа не при делах.
Есть конечно вещи которые не делегируются.

С банками такое тоже прокатывает. Но там геморроя сильно больше. Банкам выгодна подпись Генерального потому что эта подпись на основании устава, который практически вечный, а подпись буха она на основании довереннности у которой есть срок и этот срок нужно не прошляпить уже самому банку.

(45) В российской инфраструктуре ЭП понятие "делегирования подписи" в общем случае отсутствует, за исключением нескольких служб типа ФСС, да и то криво как-то, с прописыванием прав в ЛК. Правильное делегирование - это когда сотруднику оформляется сертификат ЭП самой организацией, с удостоверением сертификата электронной подписью организации, через авторизацию руководителя своим личным сертификатом. И с прописыванием в сертификате сотрудника области применения. То есть, цепочка доверия строится сотрудник-организация-удостоверяющий центр. А руководитель - должностное лицо, имеющее полномочия заверять подписи сотрудников подписью организации. К сожалению, нам до этого далеко..