Я тривалий час переводив інфраструктуру на віртуальні робочі столи з використанням Remote Desktop Services. Один з базових постулатів, яким я користувався, це розмежування Microsoft-ом сесій користувачів один від одного. Я був більш ніж впевненим, що USB-токені вставлені в компи юзерів, та перекинуті на сервер RDS через протокол RDP не можуть бути доступними в інших сесіях. Як виявилося, я жорстко помилився. Не знаю, чи так воно було від самого початку, чи фіча прийшла з останнім оновлення Windows, чи що більш ймовірно з оновленням бібліотеки криптографії IIT, яку використовують наші державні сервіси на зразок ЦЗО Мінюсту, але за останній тиждень у мене з десяток випадків, коли юзера бачать чужі токени, більш того, маючи пін-код їх вдається використати та накласти підпис . А якщо пін-коду нема, то з 6-ої спроби заблокувати.
Сиджу, думаю переходити на VDI. В 2015-му я тестував його ще на 2012R2, але мені багато чого не сподобалося, навіть не додаткові витрати грошей на ліцензії та ресурси, а додаткові витрати на адміна, якому фактично треба буде підтримувати кілька десятків OS-актуальними замість однієї.
P.S. Гуглеж питання складний, бо Гугл переповнений "проблемою", яка фактично є базою фічею RDS: "в RDP-сесії не можна використати USB-токен, що підплючений до хоста".
Я тривалий час переводив інфраструктуру на віртуальні робочі столи з використанням Remote Desktop Services. Один з базових постулатів, яким я користувався, це розмежування Microsoft-ом сесій користувачів один від одного. Я був більш ніж впевненим, що USB-токені вставлені в компи юзерів, та перекинуті на сервер RDS через протокол RDP не можуть бути доступними в інших сесіях. Як виявилося, я жорстко помилився. Не знаю, чи так воно було від самого початку, чи фіча прийшла з останнім оновлення Windows, чи що більш ймовірно з оновленням бібліотеки криптографії IIT, яку використовують наші державні сервіси на зразок ЦЗО Мінюсту, але за останній тиждень у мене з десяток випадків, коли юзера бачать чужі токени, більш того, маючи пін-код їх вдається використати та накласти підпис . А якщо пін-коду нема, то з 6-ої спроби заблокувати.
Сиджу, думаю переходити на VDI. В 2015-му я тестував його ще на 2012R2, але мені багато чого не сподобалося, навіть не додаткові витрати грошей на ліцензії та ресурси, а додаткові витрати на адміна, якому фактично треба буде підтримувати кілька десятків OS-актуальними замість однієї.
P.S. Гуглеж питання складний, бо Гугл переповнений "проблемою", яка фактично є базою фічею RDS: "в RDP-сесії не можна використати USB-токен, що підплючений до хоста".
Автори 337?
Автори 337?
Так, вони ріднесенькі.
Автори 337?
Так, вони ріднесенькі.
А я думав мені примарилось... Підемо перевіримо ще раз. Дякую.
AvPinTool також відображає всі токени? Чи тільки один користувача?
Ні, в AvPinTool тільки "свій" токен. Проблема вилазить в браузерах на сайтах держорганів. У мене купа юзерів в "оффлайн" додатках працюють одночасно без проблем.
Коли у вас ніхрена не виходить, прочитайте нарешті інструкцію. Колега нарив у ІТТ.
Примітка. Агент підпису не підтримує роботу в багато користувальницькому режимі, тому в ОС Microsoft Windows Server для роботи необхідно використовувати web-розширення та NMH-модуль, ActiveX-компонент або NPAPI-плагін для застарілих браузерів.
Відповісти
Поперед.
Зміст
Наступ.
Гілками
. А якщо пін-коду нема, то з 6-ої спроби заблокувати.
