Проброс смарт-карт в сеансах RDP применяется для аутентификации по сертификатам, работы с ЭП и доступа к защищённым ресурсам без копирования ключевого материала на сервер. В среде Windows механизм реализуется через перенаправление устройства Smart Card на уровне клиента Remote Desktop и служб Smart Card на обеих сторонах соединения. При этом задействуются драйверы считывателей, криптопровайдеры (CSP) или minidriver, а также политики RDP, влияющие на доступ к устройствам.
Ключевой момент – согласованность версий ОС и компонентов. Клиент и сервер должны поддерживать перенаправление смарт-карт: Windows 10/11 Pro и выше, Windows Server 2016+ с включёнными службами смарт-карт. Для инфраструктур с доменом важно заранее проверить политики: запрет на перенаправление устройств или отключённая служба SCardSvr на сервере приведут к тому, что карта не появится в сеансе, даже если клиент настроен корректно.
Отдельного внимания требует программное обеспечение для криптографии. Если используется ГОСТ или специфичный токен, необходимо установить соответствующий CSP или minidriver на сервер, а не только на клиент. RDP передаёт доступ к устройству, но операции с ключами выполняются в серверной среде. Отсутствие провайдера проявляется ошибками входа по смарт-карте или недоступностью контейнеров ключей.
В статье разбираются прикладные шаги: где включить перенаправление в клиенте RDP, какие групповые политики проверить, какие службы должны быть запущены, и как диагностировать проблемы с помощью журналов событий и утилит вроде certutil и tsconfig.msc. Такой подход позволяет подготовить рабочую конфигурацию для удалённой работы с сертификатами без снижения требований безопасности.
Как настроить проброс смарт-карт в RDP
На стороне клиента откройте стандартный клиент Remote Desktop Connection (mstsc.exe), перейдите в раздел «Показать параметры» → «Локальные ресурсы» и активируйте пункт «Смарт-карты». Эта настройка отвечает за передачу доступа к устройству в удалённый сеанс. При использовании сохранённого RDP-файла параметр должен выглядеть как redirectsmartcards:i:1.
На сервере убедитесь, что служба Смарт-карты (Smart Card, SCardSvr) запущена и имеет тип запуска «Автоматически». Проверка выполняется через services.msc. Остановленная служба приведёт к отсутствию карты в системе даже при корректных настройках клиента.
Проверьте групповые политики RDP. В редакторе gpedit.msc или доменных политиках откройте раздел «Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удалённых рабочих столов → Узел сеансов → Перенаправление устройств и ресурсов». Параметр «Запретить перенаправление смарт-карт» должен быть отключён или не задан. После изменений выполните gpupdate /force.
Установите на сервер драйвер считывателя и соответствующий CSP или minidriver, применяемый для конкретного токена. Наличие ПО только на клиенте недостаточно, так как операции с сертификатами выполняются в контексте серверной ОС. Проверку корректности установки можно выполнить командой certutil -scinfo, которая должна отобразить контейнеры ключей без ошибок.
После подключения по RDP откройте оснастку certmgr.msc или используйте приложения, работающие с ЭП, чтобы убедиться, что смарт-карта определяется в сеансе. При проблемах анализируйте журналы «Система» и «Безопасность», обращая внимание на события SCardSvr и ошибки инициализации криптопровайдеров.
или используйте приложения, работающие с ЭП, чтобы убедиться, что смарт-карта определяется в сеансе. При проблемах анализируйте журналы «Система» и «Безопасность», обращая внимание на события SCardSvr и ошибки инициализации криптопровайдеров.»>
Проверка требований к ОС, RDP и поддержке смарт-карт
Поддержка проброса смарт-карт доступна только в редакциях Windows с полноценным клиентом RDP. На стороне клиента требуется Windows 10 или 11 в версиях Pro, Enterprise или Education; редакция Home не поддерживает перенаправление смарт-карт. Серверная часть должна работать под управлением Windows Server 2016 и новее либо Windows 10/11 Pro и выше при использовании входящих RDP-сеансов.
Проверьте версию протокола RDP и клиента mstsc.exe. Клиент должен быть не ниже версии 6.1, что соответствует современным сборкам Windows. Устаревшие клиенты, запускаемые с тонких клиентов или через сторонние оболочки, часто не передают устройства типа Smart Card, даже если опция формально доступна.
На обеих сторонах соединения должна присутствовать и быть активной служба Smart Card (SCardSvr). Проверка выполняется через services.msc или команду sc query scardsvr. Отсутствие службы или её отключение указывает на некорректную конфигурацию ОС либо удалённые компоненты безопасности.
Поддержка конкретной смарт-карты определяется драйвером считывателя и криптопровайдером. Необходимо заранее уточнить, используется ли CSP или minidriver, и поддерживается ли он целевой версией Windows Server. Для проверки совместимости рекомендуется использовать утилиты certutil и документацию производителя токена, так как неподдерживаемые драйверы не инициализируются в RDP-сеансе.
При работе в доменной среде дополнительно убедитесь, что на контроллере домена не применяются политики, ограничивающие вход по смарт-картам или перенаправление устройств RDP. Несоответствие требований ОС и политик приводит к отказу аутентификации ещё до установления пользовательского сеанса.
Включение перенаправления смарт-карт в клиенте Remote Desktop
Откройте клиент Подключение к удалённому рабочему столу с помощью команды mstsc. Перед установлением соединения нажмите «Показать параметры» и перейдите на вкладку «Локальные ресурсы». В блоке «Локальные устройства и ресурсы» установите флажок «Смарт-карты», так как именно этот параметр разрешает передачу доступа к физическому токену в удалённый сеанс.
Если используется сохранённый RDP-файл, откройте его в текстовом редакторе и проверьте наличие строки redirectsmartcards:i:1. Значение 1 означает разрешённое перенаправление, значение 0 полностью блокирует доступ к смарт-карте независимо от настроек интерфейса клиента.
При запуске RDP из сторонних оболочек, порталов или тонких клиентов убедитесь, что они используют системный клиент mstsc.exe, а не встроенную реализацию RDP. Некоторые веб-клиенты и облегчённые RDP-реализации не поддерживают проброс смарт-карт на уровне протокола.
После изменения параметров обязательно завершите все активные RDP-сеансы и выполните новое подключение. Изменения перенаправления устройств не применяются к уже установленным соединениям и вступают в силу только при создании нового сеанса.
Для контроля можно проверить список доступных устройств в удалённой системе с помощью certutil -scinfo или через приложения, использующие аутентификацию по сертификатам. Отсутствие смарт-карты в сеансе указывает на ошибку конфигурации клиента или блокировку со стороны сервера.
Настройка групповых политик для RDP и смарт-карт
Групповые политики напрямую управляют возможностью перенаправления смарт-карт в RDP-сеансах, поэтому проверка и корректировка параметров обязательны. Откройте редактор локальных или доменных политик gpedit.msc и перейдите в раздел «Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удалённых рабочих столов → Узел сеансов → Перенаправление устройств и ресурсов».
- Установите параметр «Запретить перенаправление смарт-карт» в состояние «Отключено» или «Не задано».
- Проверьте политику «Запретить перенаправление поддерживаемых устройств Plug and Play» – при значении «Включено» смарт-карты могут блокироваться.
- Убедитесь, что нет активных политик, запрещающих перенаправление всех устройств RDP.
Отдельно проверьте параметры безопасности, влияющие на вход по смарт-картам. В разделе «Конфигурация компьютера → Параметры Windows → Параметры безопасности → Локальные политики → Параметры безопасности» оцените состояние политик, связанных с интерактивным входом и использованием сертификатов.
- «Интерактивный вход: требовать смарт-карту» должен соответствовать реальной схеме аутентификации.
- «Интерактивный вход: не отображать имя последнего пользователя» не влияет на проброс, но может затруднять диагностику входа.
В доменной среде убедитесь, что политика применяется к серверу, принимающему RDP-подключения. Используйте команду gpresult /r для проверки применённых GPO. После изменения параметров выполните gpupdate /force и перезапустите RDP-службы либо сервер, чтобы исключить влияние кэшированных настроек.
Вопрос-ответ:
Почему смарт-карта работает на локальном ПК, но не появляется в RDP-сеансе?
Чаще всего причина связана с отключённым перенаправлением на уровне клиента или сервера. На клиенте проверьте параметр «Смарт-карты» в mstsc и строку redirectsmartcards:i:1 в RDP-файле. На сервере убедитесь, что служба Smart Card запущена и не заблокирована групповой политикой «Запретить перенаправление смарт-карт». Если используется домен, дополнительно проверьте применённые GPO через gpresult.
Нужно ли устанавливать криптопровайдер для токена на сервер, если он есть на клиенте?
Да, установка на сервер обязательна. RDP передаёт доступ к считывателю, но операции с ключами и сертификатами выполняются в среде серверной ОС. При отсутствии CSP или minidriver контейнеры ключей не определяются, что приводит к ошибкам входа по сертификату и сбоям в приложениях, работающих с ЭП.
Можно ли использовать проброс смарт-карт в Windows 10 Home?
Нет, редакция Home не поддерживает перенаправление смарт-карт через стандартный клиент RDP. Для работы требуется Windows 10 или 11 в версиях Pro, Enterprise либо Education. Это ограничение действует независимо от настроек сервера.
Как проверить, видит ли сервер смарт-карту внутри RDP-сеанса?
После подключения по RDP выполните команду certutil -scinfo или откройте оснастку certmgr.msc. Если карта и контейнеры ключей отображаются без ошибок, проброс работает корректно. При отсутствии информации о смарт-карте проверьте журналы событий «Система» и состояние службы Smart Card.
Загрузка...
