Есть Windows Server 2008R2, используется в качестве доменного контроллера и терминального сервера. Аутентификация на терминале при помощи рутокен. В политике "при извлечении смарт-карты" стоит "Отключение в случае удаленного сеанса...". Если запустить службу "политика удаления смарт-карты" все работает как задумано только при первом подключении. После извлечения токена при последующем подключении аутентификация проходит, появляется рабочий стол и сеанс заканчивается с сообщением "Ваш сеанс работы с удаленным рабочим столом окончен". Если службу остановить, все хорошо, только при извлечении токена рабочий стол не отключается.

Подскажите можно ли как то сохранить (скопировать) контейнер с ruToken на жесткий диск? для бекапа так сказать.

вопрос к тому: не однократно сталкивались с поломкой токенов, бывали и физические повреждения и аппаратные поломки, хотя не в этом суть. А в том при этом мы теряем все контейнеры, что были на токене. Защититься от этого конечно можно средствами криптопро, скопировав контейнер на Дискету, но это не логично, копировать на устаревший и не надежный носитель. Копировать на реестр не подходит по соображениям безопасности.

Поэтому хотелось бы иметь возможность скопировать(и при необходимости) восстановить содержимое контейнером на жесткий диск.

Поэтому можно:
1. Скопировать контейнер на дискету и сделать ее образ и хранить не дискету, а  именно образ дискеты.
2. Скопировать контейнер на другой Рутокен
Второй вариант нам представляется более простым и надежным. Технология копирования ключевых контейнеров для КриптоПро CSP описано в руководстве пользователя Рутокен для КриптоПро.

Поэтому можно:
1. Скопировать контейнер на дискету и сделать ее образ и хранить не дискету, а  именно образ дискеты.
2. Скопировать контейнер на другой Рутокен
Второй вариант нам представляется более простым и надежным. Технология копирования ключевых контейнеров для КриптоПро CSP описано в руководстве пользователя Рутокен для КриптоПро.

1. далеко не на всех современных компьютерах есть Floppy дисководы.
2. покупать второй руТокен только ради хранения резевой копий не самое удачное решение.

1. Да, на низком уровне (PC/SC) возможности Рутокен ЭЦП включают в себя все возможности, предоставляемые Рутокен S.
Однако, из-за жестких привязок к оборудованию, стороннее программное обеспечение, работающее с Рутокен S, без модификаций с Рутокен ЭЦП работать не сможет.
К сожалению, поддержка Рутокен ЭЦП сторонним прикладным программным обеспечением по большей части находится вне зоны нашей ответственности. Однако, смею Вас заверить, что активная работа в этом направлении ведется и некоторые продукты уже почти готовы и скоро будут доступны.

2. Да. Использование Рутокен в Linux аналогично его использованию в MacOS X
Следуйте инструкциям на этой странице http://www.rutoken.ru/products/rt4osx/example-of-using/

3. Да. И opensc-project.org и M.U.S.C.L.E. полностью поддерживают Рутокен ЭЦП в том числе и под Linux.
Подробности на странице http://www.rutoken.ru/products/rt4nix/

Заранее благодарен за ответ.

Здравствуйте.

1. Да, на низком уровне (PC/SC) возможности Рутокен ЭЦП включают в себя все возможности, предоставляемые Рутокен S.
Однако, из-за жестких привязок к оборудованию, стороннее программное обеспечение, работающее с Рутокен S, без модификаций с Рутокен ЭЦП работать не сможет.

Не совсем понятно в моем случае работать будет или нет и в каком качестве?:

Пользуюсь несколькими банковскими интернет-интерфейсами и приложениями разных банков, где используется ЭЦП и ключи доступа, в том числе одно приложение и один веб-интерфейс используют Интер-Про v.5. фирмы Сигнал-Ком (ключи ЭЦП формировались через их же программу Админ-ПКИ). На ПК стоит Виста.

1)Все банковские интерфейсы поддерживают Токены в том числе те которые работают на ЯВА-машинах, но ключи то изначально формировались на обычных магнитных носителях! Да и банки обычно предлагают Токены какой то "своей" фирмы. Смогу ли я использовать Рутокен ЭЦП как "обычный" Токен, просто закинув туда готовые ключи?

2)Фирма Сигнал-Ком поддерживает Рутокен ЭЦП, в описании Рутокен ЭЦП указано, что имеется функция импорта пары ключей! Смогу ли я просто закинув в токен готовые ключи использовать полностью защиту "Неизвлекаемого ключа" или в данном случае Токен работает просто как Флешка, а для поддержки функции Неизвлекаемого ключа Пару ключей ЭЦП нужно формировать по новой с использованием Токена? Но я не планирую формировать по-новой ключи, так что посоветуете - преобрести "обычный" Токен (без функции неизвлекаемого ключа)?

3)В Вашем каталоге цен сказано, что при использовании с продуктами Сигнал-Ком необходимо дополнительное лицензирование, что это и как его проходить (на сайте Сигнал-Ком что-то ничего не нашел)? Также, существует ли жесткая привязка данного токена на одно частное лицо или им может пользоваться любой кто знает Пин-код?

Ну и наконец я не до конца понимаю принцип работы Токенов: разница с обычной флешкой - только в наличии ПИН-кода - ввел его - открылась флешка, а дальше пока ты работаешь продвинутый хакер может зайти и хакнуть ее содержимое; если у меня на Токене будет несколько ключей разных банков - я открыв доступ к флешке открываю ему все ключи? -или там как то можно прописаить конкретно какому узлу, какому приложению открывается доступ к какому конкретно файлу (ключу) на Токене?

Не совсем понятно в моем случае работать будет или нет и в каком качестве?:

Пользуюсь несколькими банковскими интернет-интерфейсами и приложениями разных банков, где используется ЭЦП и ключи доступа, в том числе одно приложение и один веб-интерфейс используют Интер-Про v.5. фирмы Сигнал-Ком (ключи ЭЦП формировались через их же программу Админ-ПКИ). На ПК стоит Виста.

1)Все банковские интерфейсы поддерживают Токены в том числе те которые работают на ЯВА-машинах, но ключи то изначально формировались на обычных магнитных носителях! Да и банки обычно предлагают Токены какой то "своей" фирмы. Смогу ли я использовать Рутокен ЭЦП как "обычный" Токен, просто закинув туда готовые ключи?

Рутокен ЭЦП может работать (производить вычисления внутри себя) только с не извлекаемыми ключами. Не извлекаемые ключи могут быть сгенерированы с помощью самого Рутокен ЭЦП или записаны внешними приложениями. Но, разработчики крипто приложений могут использовать Рутокен ЭЦП как устройство для защищенного хранения различных объектов, в том числе секретных ключей подписи. Именно так они и поступают с ключами сгенерированными внешними приложениям, т.е.  записывают их на Рутокен ЭЦП в виде файлов. В этом случае, при вычислении ЭЦП ключи считываются с токена и передаваться в ОС.

Вы можете на Рутокен ЭЦП хранить как извлекаемые так и не извлекаемые ключи. С точки зрения безопасности лучше использовать разные носители для разных ключей, с точки зрения удобства все ключи  хранить одном токене, выбирать Вам.

Для того чтобы Рутокен ЭЦП стал виден в приложениях Сигнал-Ком нужно записать на него их лицензию. Это платная процедура для токенов приобретенных не через компанию Сигнал-Ком.

Рутокен в отличии от Flash диска (флешки), при его подключении не отображается в системе как новое логическое устройство, работу с ним осуществляет специализированное ПО. При каждом обращении к Рутокен запрашивается PIN-код, это позволяет контролировать доступ к данным записанным на него. Для удобства работы PIN-код можно кэшировать для определенного процесса, в этом случае при обращении к токену PIN-код будет запрашиваться только один раз. Например, при кэшировании PIN-кода, и хранении на Рутокен разных ключей используемых разными приложениями, работающими через один и тот же  модуль PKCS11, ПИН-код будет запрашиваться один раз при запуске каждого приложения.