Служба политика удаления смарт карт на локальный компьютер была запущена и затем остановлена

Обновлено: 05.07.2024

обычно я получаю эту ошибку: (Служба "имя службы" на локальном компьютере запущена, а затем остановлена. Некоторые службы автоматически останавливаются, если они не используются другими службами или программами), когда что-то не так с моим кодом, например, несуществующие пути диска и т. д. Служба windows не запускается.

У меня есть служба windows, которая создает резервные копии папок / файлов, в место, если она достигла предела размера. Все сведения предоставляются конфигурацией XML, которую предоставляет служба windows читает на старте. У меня есть отдельная Windows forms с кнопкой, которая делает именно то, что делает onstart моей службы windows. Я использую windows forms для отладки кода, прежде чем поместить его в службу windows.

когда я запускаю windows forms. Оно делает то, что должно. Когда я поместил свой код в метод onStart() службы windows, появилась ошибка.

Я не знаю, что заставляет службу windows не запускаться, Windows form simulator работал нормально. В чем проблема?

обновление: После многих испытаний я заметил, что с помощью только каталога папок (без файла) служба windows не работает. Когда я заменил переменную fileWatch определенным файлом (включая его каталог), служба windows запустилась. Когда я изменил его обратно в папку, это не сработало. Я думаю, что расположение папок не работает в filewatcher.

Если служба запускается и останавливается таким образом, это означает, что ваш код выдает необработанное исключение. Это довольно сложно отладить,но есть несколько вариантов.

  1. обратитесь к Windows Просмотр Событий. Обычно вы можете добраться до этого, перейдя в диспетчер компьютеров / серверов, а затем нажав Просмотр Событий ->Журналы Windows ->приложение. Вы можете увидеть, что бросило исключение здесь, которое может помочь, но вы не получите трассировку стека.
  2. извлеките логику программы в проект класса библиотеки. Теперь создайте две разные версии программы: консольное приложение (для отладки) и службу windows. (Это немного первоначальные усилия, но экономит много страха в долгосрочной перспективе.)
  3. добавьте больше блоков try / catch и войдите в приложение, чтобы получить лучшее представление о том, что происходит.

Не уверен, что это будет полезно, но для отладки службы вы всегда можете использовать следующее в методе OnStart:

чем вы могли бы подключить visual studio к процессу и иметь лучшие возможности отладки.

надеюсь, это было полезно, удачи!--2-->

YOUR_PROGRAM.cs

Иногда при добавлении смарт-карты может появиться ошибка. Эта ошибка связана с определением устройств на компьютере и установкой для него драйвера. Самостоятельно компьютер не сможет найти подходящий драйвер так как почти все смарт карты снабжаются специальным программным обеспечением куда входит и драйвер для них.

Диспетчер ресурсов смарт-карт не выполняется

Решение 1:
Убедитесь в том, что на рабочей станции, к которой подключена добавляемая смарт-карта, запущена и работает служба Смарт-карта. Для управления работой служб необходимо обладать правами Локального администратора.

Решение 2:
Убедитесь в том, что адрес сервера Indeed CM добавлен в зону Местная интрасеть (Local Intranet) браузера рабочей станции, к которой подключена смарт-карта.

Криптопро не видит ключ JaCarta, решаем за минуту

Описание окружения

Есть виртуальная машина на Vmware ESXi 6.5, в качестве операционной системы установлена Windows Server 2012 R2. На сервере стоит КриптоПРО 4.0.9944, последней версии на текущий момент. С сетевого USB хаба, по технологии USB over ip, подключен ключ JaCarta. Ключ в системе видится, а вот в КриптоПРО нет.

Алгоритм решения проблем с JaCarta

КриптоПРО очень часто вызывает различные ошибки в Windows, простой пример (Windows installer service could not be accessed). Вот так вот выглядит ситуация, когда утилита КриптоПРО не видит сертификат в контейнере.


Как видно в утилите UTN Manager ключ подключен, он видится в системе в смарт картах в виде Microsoft Usbccid (WUDF) устройства, но вот CryptoPRO, этот контейнер не определяет и у вас нет возможности установить сертификат. Локально токен подключали, все было то же самое. Стали думать что сделать.

Возможные причины с определением контейнера

  1. Во первых, это проблема с драйверами, например, в Windows Server 2012 R2, JaCarta в идеале должна определяться в списке смарт карт как JaCarta Usbccid Smartcard, а не Microsoft Usbccid (WUDF)
  2. Во вторых если устройство видится как Microsoft Usbccid (WUDF), то версия драйверов может быть устаревшей, и из-за чего ваши утилиты будут не определять защищенный USB носитель.
  3. Устарелая версия CryptoPRO

Как решить проблему, что криптопро не видит USB ключ?

Создали новую виртуальную машину и стали ставить софт все последовательно.

  • Первым делом обновляем вашу операционную систему, всеми доступными обновлениями, так как Microsoft исправляет много ошибок и багов, в том числе и драйверами.
  • Вторым пунктом является, в случае с физическим сервером, установить все свежие драйвера на материнскую плату и все периферийное оборудование.
  • Далее устанавливаете Единый Клиент JaCarta.
  • Устанавливаете свежую версию КриптоПРО

Установка единого клиента JaCarta PKI


Далее полученный архив вы распаковываете и запускаете установочный файл, под свою архитектуру Windows, у меня это 64-х битная. Приступаем к установке Jacarta драйвера. Единый клиент Jacarta, ставится очень просто (НАПОМИНАЮ ваш токен в момент инсталляции, должен быть отключен). На первом окне мастера установки, просто нажимаем далее.


Принимаем лицензионное соглашение и нажимаем "Далее"


Чтобы драйвера токенов JaCarta у вас работали корректно, достаточно выполнить стандартную установку.


Если выберете "Выборочную установку", то обязательно установите галки:

  • Драйверы JaCarta
  • Модули поддержки
  • Модуль поддержки для КриптоПРО


Далее нажимаем "Установить".


Через пару секунд, Единый клиент Jacarta, успешно установлен.


Обязательно произведите перезагрузку сервера или компьютера, чтобы система увидела свежие драйвера.


Установка КриптоПРО

После установки JaCarta PKI, нужно установить КриптоПРО, для этого заходите на официальный сайт.


На текущий момент самая последняя версия КриптоПро CSP 4.0.9944. Запускаем установщик, оставляем галку "Установить корневые сертификаты" и нажимаем "Установить (Рекомендуется)"


Инсталляция КриптоПРО будет выполнена в фоновом режиме, после которой вы увидите предложение, о перезагрузке браузера, но я вам советую полностью перезагрузиться.


После перезагрузки подключайте ваш USB токен JaCarta. У меня подключение идет по сети, с устройства DIGI, через клиента Anywhere View. В клиенте Anywhere View, мой USB носитель Jacarta, успешно определен, но как Microsoft Usbccid (WUDF), а в идеале должен определиться как JaCarta Usbccid Smartcard, но нужно в любом случае проверить, так как все может работать и так.


Открыв утилиту "Единый клиент Jacarta PKI", подключенного токена обнаружено не было, значит, что-то с драйверами.


Откройте диспетчер устройств Windows, найдите пункт "Считыватели устройств смарт-карт (Smart card readers)" щелкните по Microsoft Usbccid (WUDF) и выберите пункт "Свойства". Перейдите на вкладку "Драйвера" и нажмите удалить (Uninstall)


Согласитесь с удалением драйвера Microsoft Usbccid (WUDF).


Вас уведомят, что для вступления изменений в силу, необходима перезагрузка системы, обязательно соглашаемся.


После перезагрузки системы, вы можете увидеть установку устройства и драйверов ARDS Jacarta.


Откройте диспетчер устройств, вы должны увидеть, что теперь ваше устройство определено, как JaCarta Usbccid Smartcar и если зайти в его свойства, то вы увидите, что смарт карта jacarta, теперь использует драйвер версии 6.1.7601 от ALADDIN R.D.ZAO, так и должно быть.


Если открыть единый клиент Jacarta, то вы увидите свою электронную подпись, это означает, что смарт карта нормально определилась.


Открываем CryptoPRO, и видим, что криптопро не видит сертификат в контейнере, хотя все драйвера определились как нужно. Есть еще одна фишка.


ОБЯЗАТЕЛЬНО снимите галку "Не использовать устаревшие cipher suite-ы" и перезагрузитесь.


После этих манипуляций у меня КриптоПРО увидел сертификат и смарт карта jacarta стала рабочей, можно подписывать документы.


Еще можете в устройствах и принтерах, увидеть ваше устройство JaCarta,


Если у вас как и у меня, токен jacarta установлен в виртуальной машине, то вам придется устанавливать сертификат, через console виртуальной машины, и так же дать на нее права ответственному человеку. Если это физический сервер, то там придется давать права на порт управления, в котором так же есть виртуальная консоль.

Не возможно подключиться к службе управления смарт-картами


  1. Не запущена служба смарт-карт на локальной машине. Архитектурой RDP-сессии, разработанной Microsoft, не предусмотрено использование ключевых носителей, подключенных к удалённому компьютеру, поэтому в RDP-сессии удалённый компьютер использует службу смарт-карт локального компьютера. Из этого следует что, запуска службы смарт-карт внутри RDP-сессии недостаточно для нормальной работы.
  2. Служба управления смарт-картами на локальном компьютере запущена, но недоступна для программы внутри RDP-сессии из-за настроек Windows и/или RDP-клиента.
  • Запустите службу смарт-карт на локальной машине, с которой вы инициируете сеанс удалённого доступа. Настройте её автоматический запуск при старте компьютера.
  • Разрешите использование локальных устройств и ресурсов во время удалённого сеанса (в частности, смарт-карт). Для этого, в диалоге "Подключение к удалённому рабочему столу" в параметрах выберите вкладку "Локальные ресурсы", далее в группе "Локальные устройства и ресурсы" нажмите кнопку "Подробнее…", а в открывшемся диалоге выберите пункт "Смарт-карты" и нажмите "ОК", затем "Подключить".


Вот такой вот был траблшутинг по настройке токена Jacarta, КриптоПРО на терминальном сервере, для подписи документов в ВТБ24 ДБО. Если есть замечания или поправки, то пишите их в комментариях.

  • Кирилл Мещеряков
  • Посетитель
  • Неактивен

Укажите, пожалуйста, с какой операционной системы и каким терминальным клиентом производится подключение к удаленному рабочему столу?

Пробовал с windows xp, клиент, который с sp3 идет (6й вроде), и 7ки, клиент стандартный. Результат одинаковый.
Заметил еще, что помогает (на 1 вход) перезапуск на сервере службы "смарт карта".

  • Алексей Несененко
  • Посетитель
  • Неактивен

Какая версия драйверов установлена?

Диспетчер устройств показывает 2.25.0.0, файл установки 2.25.03.0267 версия х64. Брал 20.05.10 с сайта.

  • Алексей Несененко
  • Посетитель
  • Неактивен

А как их теперь устанавливать? Написано "из терминальной сессии запрещено", а другого доступа у меня нет.
Если дрова обновить только на сервере, клиенты перестают подключаться, бесконечное "чтение смарт карты" и отваливается подключение. До пина не доходит. Версию в диспетчере почему-то все равно показывает 2.25.0.0

  • Алексей Несененко
  • Посетитель
  • Неактивен

Версия самих драйверов для "железа" не меняется уже довольно давно.
Меняется версия инсталлятора, в котором и происходят изменения и обновления функционала.
Поэтому версию драйверов нужно смотреть через панель управления.

А что там с совместимостью то? Если на сервере обновляю, а на клиенте нет - не подключается. Если наоборот, на клиенте обновляю, на сервере нет - подключается. На всех клиентах разом обновить проблемно пока.

  • Алексей Несененко
  • Посетитель
  • Неактивен

На клиентах можно обновлять через групповые политики

Это если они доменные, есть еще и те, которые не в домене.

Возникла подобная проблема.
- сервер 2008r2 с установленными ролями AD, Терминальный сервер, Центр сертификации.
- клиенты windows 7, как в локальной сети с сервером (не в домене), так и удаленные машины с доступом через интернет (не в домене).
- версия драйверов Рутокен 2.92.00.0516 на всех машинах.
- криптоПро на сервере настроен не использоваться при логоне.
- политика удаления смарт-карты на сервере настроена на отключение в случае удаленного сеанса.
- NLA отключен
- версия RDP протокола на обеих сторонах 7.1
- на сервере установлен сервис пак и последние обновления, на клиентских машинах - SP1.

https://forum.rutoken.ru/uploads/transfer/0/6500/6959/thumb/p18gb8l4fc1sbe1t9g1a5a82n1j5l1.jpg

После рестарта сервера или службы "Смарт-карта" на нем возможно единожды отключение сеанса по политике при извлечении смарт-карты. После этого при попытке подключения с использованием смарт-карты сеанс завершается с ошибкой.

  • Ксения Шаврова
  • Администратор
  • Неактивен

https://forum.rutoken.ru/uploads/transfer/0/6500/6959/thumb/p18gb8l4fc1sbe1t9g1a5a82n1j5l1.jpg

После рестарта сервера или службы "Смарт-карта" на нем возможно единожды отключение сеанса по политике при извлечении смарт-карты. После этого при попытке подключения с использованием смарт-карты сеанс завершается с ошибкой.

Подскажите, пожалуйста, насколько давно по времени проявилась данная ошибка? Удавалось ли ранее работать по описанной схеме? Возможно, производилось ли обновления какого-либо ПО?

Установка центра сертификации, драйверов рутокен, и организация доступа по смарт-картам произведена недавно. Пока помогает настроенная задача по перезапуску службы Смарт-карта при отключении удаленного сеанса. При этом невозможен выпуск сертификатов пользователей, после рестарта сервера и до перезапуска службы выдача сертификатов работает как должно.

В последней на сегодняшний день версии СЗИ Блокхост-Сеть 2.2.16.1038 разработчикам удалось решить многочисленные проблемы прошлых версий, а их система развертывания работает просто таки хорошо. И все же проблем с установкой и эксплуатацией СЗИ еще хватает. Ниже предпринята попытка систематизировать трудности, с которыми, скорее всего, придется столкнуться ее администраторам и пользователям.

1. Ошибки при установке Блокхост-Cеть

В процессе установки серверной части Блокхоста возникает Ошибка вызова AddPrinter:3001 на ОС Windows Server 2008 R2 x64, версия БХ - 2.2.16.1038

Требуется удалить следы предыдущей версии сервера Блокхост-Сеть. Помогает удаление старой версии и папки установки программы - C:\BlockHost.

С чем может быть связана ошибка при установке "Не найдено сетевое имя"?

На рабочей станции, куда проводится установка должны быть открыты стандартные общие ресурсы C$ и admin$:


Кроме того, на рабочей станции должна быть включена учетная запись Администратор и к ней задан пароль.

При распространении Блокхоста на клиентские машины через серверную консоль статус подключения – «Отсутствует доступ»

Обычно проблема связана с работой брандмауера Windows на системной машине. Обычно антивирусное ПО на клиенте перехватывает управление брандмауэром и тогда установка клиента Блокхоста проходит штатно. Экран брандмауэра в панели управления Windows 7 при этом выглядят следующим образом:


В отдельных случаях перехвата не происходит и тогда экран брандмауера будет выглядеть так:


Потребуется зайти в параметры брандмауера и отключить его для всех типов сетей:


Во время развертывания клиента Блокхост-Сеть через консоль системы развертывания клиентский компьютер был выключен пользователем. При повторном запуске установки в режиме развертывания msi-пакетов из серверной консоли аутентификация учетной записи локального администратора проходит, при установке - ошибка 1603 или 1607. Через систему развертывания - агент устанавливается нормально, установка клиента заканчивается ошибкой "Ресурс с установочными файлами для этого продукта недоступен. Проверьте существование ресурса и доступ к нему".

В этом случае успех принесла следующая последовательность действий:

  • удаление агента системы развертывания с проблемной машины. Делается локально на клиенте из-под учетной записи встроенного администратора.
  • удаление из реестра ОС веток BlockHost: HKEY_LOCAL_MACHINE\SOFTWARE\BlockHost и т.д. поиском по ключевому слову "blockhost"
  • удаление антивирусного ПО Kaspersky Endpoint Security , лучше специальной утилитой kavremover.
  • установка агента системы развертывания Блокхост-Сеть через консоль системы развертывания.
  • установка клиента Блокхост-Сеть через консоль системы развертывания.
  • установка антивирусного ПО Kaspersky Endpoint Security .

2. Проблемы со входом в систему после установки Блокхост-Сеть

После разблокировки рабочей станции Блокхост не видит аппаратный носитель, при вводе пароля выдает ошибку, что пароль неверный. После перезагрузки, иногда неоднократной, все приходит в норму

  1. Самое простое решение – вынуть и вставить обратно носитель, подождать 20-30 секунд и попробовать повторно разблокировать станцию.
  2. В подобных случаях помогает запрет настройки Параметр временного отключения USB-порта в настройках схемы электропитания компьютера:


Не конкретно к этому случаю, при проблемах разблокировки рабочей станции из спящего режима также установите запрет на отключение жесткого диска в спящем режиме - поможет избежать множества проблем.

Сложности входа на рабочую станцию с медленных компьютеров

После появления приглашения ctrl+alt+delete ждем 30-60 секунд (дожидаемся загрузки служб Блокхоста) и пытаемся авторизоваться.

Ошибка при входе с eToken : предъявленный ключевой носитель заблокирован на доступ пользователя к данной рабочей станции»


Еще похожая ошибка:

Если сразу после ввода пароля и пин-кода при зависании нажать ctrl+alt+delete и перейти на диспетчер задач, то загрузка ОС происходит нормально.

Для Windows 10 можно посоветовать такую последовательность: перед включением клиента не подключать носитель, а подключить его, когда загрузится окно входа. После этого подключить носитель и произвести вход.

Как решить проблему при входе пользователя в ОС "время ожидания истекло"?

Посмотрите есть ли в списке установленного ПО на рабочей станции следующее: wufuc – программа, разблокирующая центр обновления на неподдерживаемом оборудовании. Если есть, удалите ее.

Если используется eToken PKI Client попробуйте вместо него установить SafeNet Client , который по отзывам пользователей быстрее работает с аппаратными ключами.

В этом случае необходимо переустановить драйвер персонального экрана БлокХоста автоматическим или ручным способом. Подробное описание способов привелено в приложенном файле.

На экране ввода пароля или не отображается окно носителя (нет иконки носителя и поля для ввода пин-кода), только строчки домен, пользователь и пароль.

Необходимо нажать кнопку Сменить пользователя. Драйвер носителя должен быть установлен. Сам аппаратный носитель должен быть вставлен в рабочую станцию.

Возникает синий экран и соответственно автоматическая перезагрузка после разблокировки (ввода пароля и пин-кода) заблокированной рабочей станции на Windows 10 .

Нажимаем Win + R , набираем secpol.msc , запускаем.

Выбираем Локальные политики - Параметры безопасности - Контроль учетных записей: все администраторы работают в режиме одобрения администратором :


Выключаем политику, перезагружаем.

решение проблемы приводится в приложенном файле:

3. Эксплуатация – проблемы и решения

Какой пин-код спрашивает Блокхост-Сеть при входе?

Если носитель уже использовался в Блокхосте – нужно вспомнить. Если не использовался - для флэшки при настройке Блокхоста задается носитель, и пин-код, который вы введете при настройке, станет пин-кодом носителя. Для токенов пин-коды необходимо задавать предварительно в соответствующем ПО.

Как предоставить общий доступ к папке на рабочей станции пользователя если установлен Блокхост-Сеть?

Доступ к общей папке открывается (помимо стандартного механизма Windows) добавлением дополнительной доменной учетной записи в качестве пользователя Блокхоста на станции с общей папкой. Вместо локального входа выбирается "сетевой вход", носитель в такой схеме привязывать не нужно.

Как в Блокхост-Сеть 2.0 ограничить использование usb-устройств перечнем разрешенных? Как назначить группе сотрудников (отделу) одинаковые доступные флэшки?

Управление в том числе и usb-устройствами производится в разделе Контроль портов и CD окна Настройки машины :


В приложенным файле – практическое пособие от разработчиков по использованию механизма контроля портов.

Недостаток механизма контроля портов в Блокхост-Сеть заключается в следующем. Если необходимо, чтобы usb-устройство было доступным для всех пользователей в организации, это устройство необходимо будет прописать на рабочей станции каждого сотрудника. И так с каждого устройства! Частично обойти это ограничение можно способом, указанным ниже.

Чтобы назначить одинаковые доступные флэшки группе пользователей необходимо в список пользователей для групповой настройки добавить не только пользователей Active Directory , но и группы безопасности AD (группы отделов), а уже для них настроить контроль портов.

Как будет осуществляться техподдержка, в том числе удаленная, при установленном Блокхост-Сеть?

  1. Локально под учетной записью встроенного Администратора, либо учетной записи , входящей в группу локальных администраторов.
  2. Манипуляции с рабочими станциями удаленно - убивают смысл внедрения Блокхоста как средства защиты информации от несанкционированного доступа. Как вариант - использовать мандатный режим разграничения, чтобы нельзя было получить доступ к служебным и рабочим документам, подключившись удаленно.

Можно ли настроить автоматическую блокировку компьютера при отключении ключевого носителя?

Можно для рабочих станций, включенных в домен, через групповые политики. Для этого на контроллере домена настроить политику действий при изъятии смарт-карты:

Параметры безопасности – Локальные политики - Параметры безопасности - Интерактивный вход в систему: поведение при извлечении смарт-карты
выбрать: Блокировка смарт-карты

Кроме того, на рабочей станции-клиенте СЗИ необходимо запустить службу Политика удаления смарт-карт и установить для нее автоматический запуск при старте ОС

В результате этих действий после того, как пользователь извлечет из компьютера свой ключевой носитель, рабочая станция будет заблокирована.

Указанный способ не будет работать для рабочих станций, не включенных в домен, а находящихся в рабочей группе.

Как настроить БХ на клиенте чтобы пользователь мог зайти на рабочую станцию только с помощью eToken

Можно ли настроить клонирование настроек рабочих станций, то есть осуществить перенос настроек на другую.

Средство называется синхронизация настроек. Создается группа, туда добавляются рабочие станции. Затем настраиваете одну из рабочих станций и синхронизируете группу соответствующей командой из меню.

Однако таким способом синхронизировать можно только общие настройки, вроде мягкого режима. Настройки пользователей синхронизировать получится только, если предполагается, что синхронизируемые в группе пользователи работают на всех машинах в группе, например это может быть администратор. Конкретных же пользователей каждой машине придется задавать индивидуально.

Нужно ли обязательно записывать пароль на eToken при смене пароля?

Нет. Эта галочка:


актуальна в основном для учетных записей с несменяемым паролем, например администратора. В таком случае пароль можно записать на ключевой носитель и входить в систему без ввода пароля.

Клиентские машины в серверной консоли Блохост находятся в состоянии Ожидание , а в колонке Описание присутствует надпись Settings node not found

В этом случае следует попробовать развернуть msi пакеты снова на клиентских станциях, добавив при этом в Параметрах Connect=1


При запуске серверной консоли появляется окно с ошибкой Не возможно получить клиентские настройки. Генерация параметров MSI развертывания и развертывание через агента работать не будут.

Существует готовое решение от разработчиков:

Однако помогает оно не всегда и более простым решением может оказаться переустановка серверной части. При условии наличии сохраненных ранее настроек сервера:


все рабочие станции успешно присоединятся к серверу после его восстановления.

Как удалить правильно удалить клиента Блокхост-Сеть?

Наилучшие результаты достигаются при удалении клиента через систему развёртывания на сервере - задача на удаление Блок-сеть клиент:


Еще может оказаться необходимым удаление папки C:\BlockHost с клиента и удаление веток из реестра при помощи поиска по ключевому слову blockhost

На многих компах с БХ 2.0 после загрузки все сетевые диски помечены красным крестом, типа недоступны!? Хотя на самом деле доступны и после первого входа на них значок исчезает. Также появились проблемы при смене пароля.

Причина таких сбоев - наличие в привязках сетевых адаптеров служб-фильтров в остановленном состоянии. При наличии установленного клиента БХС такие привязки вызывают задержку в инициализации сетевого адаптера, причем никаких записей в логах попытка инициализации не оставляет. После успешной инициализации службы сеть возобновляет работу.

Читайте также: