V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zeciiii
V2EX  ›  问与答

怎么禁用 rdp 的 smart card redirection

  •  
  •   zeciiii · 2022-06-29 14:39:28 +08:00 · 1097 次点击
    这是一个创建于 906 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前提:

    • 在家远程,公司发了一个笔记本(windows)用来办公,但是笔记本办公体验太差了。所以用家里的台式机(windows)通过 rdp 登录到笔记本上办公,这样可以使用台式机的键盘显示器等等设备。
    • 公司还发了一个 yubikey ,用来登录一些内部网站。
    • 在使用 rdp 登录时,rdp server 会把 smart card 重定向到 rdp client ,所以 yubikey 要插在台式机上而不是笔记本上。微软对此有一个说明: smart-card
    • 因为 rdp 速度快,支持双屏,支持重定向声音与录制,所以不想换其他的远程桌面软件
    • 不想用台式机办公,因为办公要连 vpn ,和打游戏用的加速器有奇怪的冲突

    问题:

    • 这种情况下,笔记本上的 yubico authenticator 能识别 yubikey ,可以读出来 pin , 但 chrome 不知道为什么就识别不了了,导致无法登录内部网站。

    尝试解决:

    1. 搞清楚为啥 rdp server 上的 chrome 不能识别 rdp client 上的 yubikey ,
      • 没有搜出来什么结果
    2. 让 rdp server 不要重定向 smart card 。
      • 搜出来的结果都说做不到,rdp 是故意设计成这样的
      • 不过有一个 hack 的方法,就是去修改 WinSCard.dll , 见 csdn ,这个 hack 的方法好像年久失修了,我用 ida 反编译了 WinSCard.dll ,并找不到文中写的那个函数。

    所以想问问有没有大佬解决过类似的问题?

    第 1 条附言  ·  2022-06-29 16:28:38 +08:00

    chrome 看起来是不支持在 rdp 里使用 webauthn, 搜到一点信息 webauthn rdp support

    4 条回复    2022-06-29 16:26:35 +08:00
    chuckzhou
        1
    chuckzhou  
       2022-06-29 15:42:52 +08:00
    如果 authenticator 能识别出来,说明系统层面是正常的。你换 ie 或者 firefox 试试。
    zeciiii
        2
    zeciiii  
    OP
       2022-06-29 15:59:48 +08:00
    @chuckzhou firefox 和 edge 都不行
    chuckzhou
        3
    chuckzhou  
       2022-06-29 16:09:36 +08:00
    @zeciiii 在 mstsc 的输入 computer 的那个地方,增加一个 /admin 试试,跟机器名之间空一格。
    zeciiii
        4
    zeciiii  
    OP
       2022-06-29 16:26:35 +08:00
    @chuckzhou 也不行 ㄟ( ▔, ▔ )ㄏ
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2827 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 07:49 · PVG 15:49 · LAX 23:49 · JFK 02:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.