4
Redirected SmartCard per Kommandozeile ansprechen
Servus Kollegen.
Das hier wird nur beantwortbar sein, wenn ihr Euch mit SmartCards unter RDP gut auskennt.
Es geht hierbei also nur um den Sonderfall "SmartCards umgeleitet in eine Remote-Desktop-Sitzung".
Ich habe festgestellt, dass SmartCard-Kommandos (auslesen von Werten wie ID) nur gelingen, wenn in der Remotesitzung interaktiv ausgeführt. Versuche ich das Selbe über Tasks zu tun, die unabhängig von der Nutzeranmeldung laufen sollen, stellt das Kommandozeilentool während dieser Remotesitzung nur fest "hier ist gar kein SmartCardleser vorhanden" (egal welches Tool, mehrere getestet).
Warum ist hier Interaktivität nötig?
Wenn ich beispielsweise in dem Task pnputil nutze, um mir Smartcard-Reader aufzulisten, dann funktioniert das in jedem Fall - warum kann ich den Reader selbst hingegen jedoch nicht programmatisch ansprechen?
Das hier wird nur beantwortbar sein, wenn ihr Euch mit SmartCards unter RDP gut auskennt.
Es geht hierbei also nur um den Sonderfall "SmartCards umgeleitet in eine Remote-Desktop-Sitzung".
Ich habe festgestellt, dass SmartCard-Kommandos (auslesen von Werten wie ID) nur gelingen, wenn in der Remotesitzung interaktiv ausgeführt. Versuche ich das Selbe über Tasks zu tun, die unabhängig von der Nutzeranmeldung laufen sollen, stellt das Kommandozeilentool während dieser Remotesitzung nur fest "hier ist gar kein SmartCardleser vorhanden" (egal welches Tool, mehrere getestet).
Warum ist hier Interaktivität nötig?
Wenn ich beispielsweise in dem Task pnputil nutze, um mir Smartcard-Reader aufzulisten, dann funktioniert das in jedem Fall - warum kann ich den Reader selbst hingegen jedoch nicht programmatisch ansprechen?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6246632661
Url: https://administrator.de/forum/redirected-smartcard-per-kommandozeile-ansprechen-6246632661.html
Ausgedruckt am: 09.04.2025 um 14:04 Uhr
4 Kommentare
Neuester Kommentar
Moin,
aus meiner Sicht, weil der Kartenleser nicht direkt erreichbar ist, sondern durch zwei weitere Instanzen durchgeschleust werden muss, bevor Du die API (WinScard) ansprechen kannst:
Es ist möglich, dass rdpdr.sys und mstsc solche Anfragen gar nicht unterstützen. Die SmartCard-Unterstützung auf TS ist seit je her etwas stiefmütterlich behandelt worden.
https://learn.microsoft.com/en-us/windows/security/identity-protection/s ...
Was ich auch nicht ausschließen kann:
- Falsche/ungeeignete Minidriver, die nur rudimentäre Funktionen zulassen. https://learn.microsoft.com/de-de/troubleshoot/windows-server/deployment ...
- Kartenleser gegen programmatischen Zugriff gesichert (z.B. Reiner-SCT, die den Zugriff extra vertunneln).
Ich bin schon mal froh, dass ich die Karten bei uns sauber auf TS verwenden kann und ich muss mit Reiner-SCT arbeiten.
Gruß
bdmvg
aus meiner Sicht, weil der Kartenleser nicht direkt erreichbar ist, sondern durch zwei weitere Instanzen durchgeschleust werden muss, bevor Du die API (WinScard) ansprechen kannst:
Es ist möglich, dass rdpdr.sys und mstsc solche Anfragen gar nicht unterstützen. Die SmartCard-Unterstützung auf TS ist seit je her etwas stiefmütterlich behandelt worden.
https://learn.microsoft.com/en-us/windows/security/identity-protection/s ...
Was ich auch nicht ausschließen kann:
- Falsche/ungeeignete Minidriver, die nur rudimentäre Funktionen zulassen. https://learn.microsoft.com/de-de/troubleshoot/windows-server/deployment ...
- Kartenleser gegen programmatischen Zugriff gesichert (z.B. Reiner-SCT, die den Zugriff extra vertunneln).
Ich bin schon mal froh, dass ich die Karten bei uns sauber auf TS verwenden kann und ich muss mit Reiner-SCT arbeiten.
Gruß
bdmvg
1
Moin.
Die Frage lautet: warum geht es nur interaktiv? Wenn das jemand erklären könnte, würde sich vielleicht Abhilfe finden lassen.
Die Frage lautet: warum geht es nur interaktiv? Wenn das jemand erklären könnte, würde sich vielleicht Abhilfe finden lassen.
Sicherheit?
Dann könnte wenn ein task reicht jeder auf die PKI ausserhalb der Sitzung zugreifen.
Dann könnte wenn ein task reicht jeder auf die PKI ausserhalb der Sitzung zugreifen.
Nicht missverstehen: ich schätze ja Gedanken hierzu. Aber was ich schreibe ist doch etwas völlig anderes. Nutzer A fragt die SmartCard ID per Befehl interaktiv ab: geht. Nutzer A im Tasknmit der Option "auch ausführen, wenn nicht angemeldet" bekommt "kein Reader gefunden", während gleichzeitig pnputil im selben Task sehr wohl den Reader sieht.
