Дано: организация подключена к системе Сбербанк бизнес онлайн, выдан токен-флешка (что такое токен?)
Проблема: при попытке запустить программу (start.exe) с токена появляется ошибка:
"Ошибка! Не удается открыть Infocrypt HWDSSL Device"
Причины могут быть следующие
1. Драйвер ключа не установлен
2. Драйвер установлен неправильно или устарел
3. Пользователь не администратор на своем ПК
4. К токену обратились из удаленной сессии (RDP)
5. В ПК вставлено более одного ключа
1) Драйвер ключа не установлен
В первом случае необходимо установить (переустановить) драйвер USB Smart Card reader, который можно скачать с сайта Microsoft. Это вариант для старых систем (старше Windows 7).
Естественно качаем только с официального сайта Microsoft, т.к. с финансами лучше не шутить и не ставить драйвера из неизвестных источников.
Драйвер для 32х разрядных систем скачиваем здесь:
catalog.update.microsoft.com/v7/site/ScopedViewRedirect.aspx?updateid=8e217a56-9ed7-456b-aee8-674c5c7bcdbe
Подходит для систем Windows 2000, Windows Server 2003, Windows XP.
Драйвер для 64х разрядных систем скачиваем здесь:
catalog.update.microsoft.com/v7/site/ScopedViewRedirect.aspx?updateid=3ff74bee-95dd-4e20-a16e-98523615eb02
Подходит для 64-разрядной операционной системы Windows XP 64-Bit Edition версии 2003 и Windows Server 2003.
Драйвера от 2006 года (01.08.2006), но новее нет, т.к. на системах Window 7, Windows 8, Windows 10 драйвер не требуется.
2) Драйвер установлен неправильно или устарел
В данном случае можно провести процедуру обновления драйвера. Для этого перейдите в менеджер устройств (Device Manager), найдите драйвер USBccid Smartcard Reader, и в окне свойств нажмите кнопку "Обновить драйвер" (Update Driver).
3) Пользователь не администратор на своем ПК
Если же драйвер установлен, но ошибка появляется, проблема может заключаться в том, что пользователь не администратор своей машины. У нас такая ошибка появилась после того, как профиль пользователя в системе был мигрирован из доменной учетной записи в локальную.
Проблема решилась заходом в систему под учетной записью администратора и запуском токена. После этого ошибка под пользователем исчезла.
4) К токену обратились из удаленной сессии (RDP)
Система работы с токенами предусматривает защиту от удаленного обращения к ключу, поэтому если попытаться запустить ключ из удаленного рабочего стола (когда ключ вставлен в сервер, а запустить его пытается клиент RDP), то будет выдаваться эта ошибка, и ключ работать не будет. Выход - использовать не RDP, а программы типа VNC, Radmin и подобные.
5) В ПК вставлено более одного ключа
Если в машину было вставлено несколько токенов, то работать будет только один (на период одной сессии). Это случай также вызывает еще одну ошибку, если запустить второй ключ, когда другой уже был запущен:
"При выполнении операции произошла ошибка. Неизвестный идентификатор сессии"
Проблема: при попытке запустить программу (start.exe) с токена появляется ошибка:
"Ошибка! Не удается открыть Infocrypt HWDSSL Device"
Причины могут быть следующие
1. Драйвер ключа не установлен
2. Драйвер установлен неправильно или устарел
3. Пользователь не администратор на своем ПК
4. К токену обратились из удаленной сессии (RDP)
5. В ПК вставлено более одного ключа
1) Драйвер ключа не установлен
В первом случае необходимо установить (переустановить) драйвер USB Smart Card reader, который можно скачать с сайта Microsoft. Это вариант для старых систем (старше Windows 7).
Естественно качаем только с официального сайта Microsoft, т.к. с финансами лучше не шутить и не ставить драйвера из неизвестных источников.
Драйвер для 32х разрядных систем скачиваем здесь:
catalog.update.microsoft.com/v7/site/ScopedViewRedirect.aspx?updateid=8e217a56-9ed7-456b-aee8-674c5c7bcdbe
Подходит для систем Windows 2000, Windows Server 2003, Windows XP.
Драйвер для 64х разрядных систем скачиваем здесь:
catalog.update.microsoft.com/v7/site/ScopedViewRedirect.aspx?updateid=3ff74bee-95dd-4e20-a16e-98523615eb02
Подходит для 64-разрядной операционной системы Windows XP 64-Bit Edition версии 2003 и Windows Server 2003.
Драйвера от 2006 года (01.08.2006), но новее нет, т.к. на системах Window 7, Windows 8, Windows 10 драйвер не требуется.
2) Драйвер установлен неправильно или устарел
В данном случае можно провести процедуру обновления драйвера. Для этого перейдите в менеджер устройств (Device Manager), найдите драйвер USBccid Smartcard Reader, и в окне свойств нажмите кнопку "Обновить драйвер" (Update Driver).
Если же драйвер установлен, но ошибка появляется, проблема может заключаться в том, что пользователь не администратор своей машины. У нас такая ошибка появилась после того, как профиль пользователя в системе был мигрирован из доменной учетной записи в локальную.
Проблема решилась заходом в систему под учетной записью администратора и запуском токена. После этого ошибка под пользователем исчезла.
4) К токену обратились из удаленной сессии (RDP)
Система работы с токенами предусматривает защиту от удаленного обращения к ключу, поэтому если попытаться запустить ключ из удаленного рабочего стола (когда ключ вставлен в сервер, а запустить его пытается клиент RDP), то будет выдаваться эта ошибка, и ключ работать не будет. Выход - использовать не RDP, а программы типа VNC, Radmin и подобные.
5) В ПК вставлено более одного ключа
Если в машину было вставлено несколько токенов, то работать будет только один (на период одной сессии). Это случай также вызывает еще одну ошибку, если запустить второй ключ, когда другой уже был запущен:
"При выполнении операции произошла ошибка. Неизвестный идентификатор сессии"
В данном случае, требуется просто перезагрузить компьютер (может быть, конечно, проблематично, если это сервер).
В конце приведу требования к ПО от разработчиков для запуска токена:
- ОС MS Windows XP (SP2, SP3), Windows Server 2003/2008 (не R2), Windows 7
- отсутствуют или отключены антивирусные средства
- USB порт 2.0 и выше
- подключение к Internet
- MS Internet Explorer 7.0+, Mozilla Firefox, Google Chrome
- единовременно не более 1 токена в разъемы одного ПК
Внимание! VPNKey-TLS не работает под управлением виртуальных сред, а также
через сеансы удаленного управления и по RDP
Как показала практика с серверами Windows Server 2008 R2 токен также работает, если запускать его локально (не RDP).
Также мы пытались запускать токен на удаленной машине по RDP, когда сам токен на клиенте (параметры передачи девайсов на удаленку (в том числе смарт-карты) были включены), но также не удалось это сделать.
Вывод: в один момент времени ключ можно использовать только один, он должен быть установлен локально и запускаться на той машине, где он непосредственно вставлен.
А вот так должно выглядеть приложение Сбербанк Бизнес Онлайн, если выше указанная ошибка будет устранена:
Если Вам понравилась статья, пожалуйста, поставьте лайк, сделайте репост или оставьте комментарий. Если у Вас есть какие-либо замечания, также пишите комментарии.
Большое спасибо
ОтветитьУдалитьДобрый день. Две недели назад установили драйвер для токена. При его подключении к USB- порту в диспетчере устройств определялось два устройства:
ОтветитьУдалить1. Смарт-карты -> Устройство идентификации (универсальный профиль Microsoft)
2. Устройства чтения смарт-карт -> Устройство чтения смарт-карт Microsoft Usbccid (WUDF). Несколько раз перезагружался, подключал флешку к разным портам, система распознавала устройства или доустанавливала драйвер и все нормально работало.
Вчера столкнулся с такой проблемой. Когда вставляю флешку в USB порт, то определяется одно "Устройство чтения смарт-карт Microsoft Usbccid (WUDF)" с ошибкой: "не удалось инициализировать драйвер для этого устройства. Код 37." Я скачал драйвер с сайта Microsoft. Он его не устанавливает. На сайте выложена версия "5.2.3790.2724 от 08/01/2006" а в системе установлена "6.1.7601.18459 от 21/06/2006". Удаляю драйвер, он тут же устанавливает его вновь и все начинает работать. До первой перезагрузки.
Операционная система - Windows 7 домашняя базовая.
Пользователь может менять разрешения на файлы - значит администратор. Других пользователей я не нашел, хотя в папке USER и есть еще один профиль "Администратор"
Все действия произвожу локально.
Установлен антивирус AVAST.
1. а на другом ПК пробовали? Ключ работает? (вдруг просто токен поврежден?)
Удалить2. большая вероятность, что это глюк после очередного обновления.
Посмотрите эту статью, может поможет:
Восклицательный знак появляется рядом с в диспетчере устройств чтения смарт-карт после запуска Windows 7 или Windows Server 2008 R2: https://support.microsoft.com/ru-ru/kb/978977
Благодарю за помощь.
УдалитьОтвет оказался в самую точку.
На других компьютерах ключ работает превосходно. Кроме того, на этом компьютере спустя несколько часов он тоже заработал. Как и написано в статье 978977 проблема "возникает из за конфликта драйверов NET Framework" . Служба WUDFSvc стартует не сразу после загрузки, а по прошествии некоторого времени.
Еще раз спасибо за помощь.
Также возможен вариант:
ОтветитьУдалитьПуск\Панель управления\Администрирование\Службы , находим
Windows Driver Foundation - User-mode Driver Framework - ставим тип запуска Автоматически.
Можно попробовать дополнительно обновить Microsoft .NET Framework 4 http://www.microsoft.com/ru-ru/download/details.aspx?id=17851
У кого сбрасывается при вставке новой флешки в "Вручную" можно экспортировать эту часть реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wudfsvc - после изменения на "Автоматически". Те сохраняем куда то на рабочий стол, и в случае надобности переводим на "Автоматически" запуском сохраненной части реестра. Решение сброса на "Вручную" к сожалению не нашёл.
Спасибо Добрый человек! Долго бился с проблемой восклицательного знака после перезагрузки или обновы токена, действительно в службах поставил автомат и знак перестал доставать
УдалитьМне помогло следующее, задействовал смарт карт из диспетчера устройств.
ОтветитьУдалитьКаким-то боком слетел драйвер во время работы. Помог первый же совет, благодарю!
ОтветитьУдалитьУ меня возникает такая проблема после нескольких смен ключей (не удается открыть infocrypt hwdssl device).. Используются по одному (знаю что сразу два использовать нельзя, но ошибка именно как будто вставлено несколько токенов). Два раза поменял - все нормально, а на третий/четвертый или пятый раз уже вылезает эта ошибка, и никакой любой другой ключ уже не подцепляется, повисает в диспетчере в воскл.знаком и ошибкой которую вначале указал. В диспетчере пишется что не хватает питания. С чего вдруг не хватает? И такая проблема не только со сбербанком, но и с другими ключами других банков.
ОтветитьУдалитьМожет проблема банально в USB-порте (физически плохой контакт или может используете длинный USB-удлинитель, который тоже может вызывать проблемы или что-то похожее)?
УдалитьДействительно, воткнул в системник сзади - заработало. Спасибо!
УдалитьЗдравствуйте! Есть ли возможность прокинуть это сберовскую смарт-карту через rdp сессию с машины пользователя на терминальный сервер? Дело в том, что по нашим правилам операции надо осущесвлять с хостов из определенного сетевого сегмента, куда как раз пользовательские станции не входят. Другие смарт-карты в rdp сессии видны, а вот эта -- нет (
ОтветитьУдалитьУточняю -- это не случай из пункта 4) К токену обратились из удаленной сессии (RDP)
ОтветитьУдалитьЗдесь смарт-карта вставлена со стороны клиента rdp, не в сервер
Ага, не сразу заметил это:
ОтветитьУдалитьТакже мы пытались запускать токен на удаленной машине по RDP, когда сам токен на клиенте (параметры передачи девайсов на удаленку (в том числе смарт-карты) были включены), но также не удалось это сделать.
Очень жаль (((
Если у кого получится -- сообщайте!
Да, жаль, уж очень защищают они свой ключ. Тоже давно хотим настроить такой вариант работы.
Удалитьтакой вариант работает с токеном infocrypt HWDSSL, токен включен локально, запускается на удаленной рдп сессии, в параметрах рдп проброс смарт карт, портов, и того диска который определился локально.
Удалитьтак же работает если пробросить на удаленный хост токен с помощью usb redirector и потом цепляться к хосту по vnc (по рдп в этом случае уже не работает токен видится но при попытке запустить программу пишет ошибку)
Восклицательный знак (!) появляется рядом с в диспетчере устройств чтения смарт-карт после запуска Windows 10 и при start ошибка, указанная автором статьи. Служба поддержки СБ не смогла помочь.
ОтветитьУдалитьА на другом ПК (другой системе) пробовали? Ключ работает? (вдруг просто токен поврежден?)
УдалитьЗдравствуйте и спасибо за советы, все они по делу.
ОтветитьУдалитьОднако у меня ситуация более экзотическая: На Macbook стоит Windows 8.1 через стандартный Boot Camp, около года USB VPN-KEY-TLS от сбера работал стабильно, а в последнее время стал все чаще и чаще вылетать. Через 5 минут после инициализации просто "пропадает" из устройств иногда девайс пропадает, а диск остается, иногда пропадают вместе, драйвера отдельно на 8.1 переустановить нет возможности, подскажите пожалуйста что делать?
Да, USB токен на старом компьютере с Windows 7 работает стабильно и не вылетает, дело не в нем, но все таки хочется заставить его работать и на более новом macbook
УдалитьЯ бы вместо 8.1 установила бы Windows 10, проверено, токен на ней работает, да и система поудобнее, чем 8.
УдалитьТа же беда случилась. Появился восклицательный знак на Win7, без обновлений системы, без ничего, просто перестал работать. Решил удалить устройство и попробовать дать системе снова самой все найти и поставить но нет, теперь висит HWDSSL DEVICE в неизвестных, и ничего не дает поставить, никакие драйвера не встают, пишет либо "файл занят другим приложением", либо "файл занят"... Сам токен рабочий, на соседней машинке без проблем работает...
ОтветитьУдалитьМожет проблема с портом? Если ничего не делали, а работать перестало, то возможно проблема в железе ("сбойнул" порт).
УдалитьДобрый день! Беда та же, несколько лет читала смарт-карты, а после очередной автомат. загрузки Windous 10,перестала читать. Самое время?! Перечислять НДФЛ... и все прочее. Помогите,с чего начать
ОтветитьУдалитьПроверьте сначала ключ на другом ПК, чтобы исключить вариант сломавшегося ключа.
УдалитьМожно организовать работу посредством RDP !!!
ОтветитьУдалить1. Токен Сбера в рабочей машине бухгалтера, Бухгалтер посредством RDP подключается со своего домашнего компьютера.
I) Если на домашнюю машину бухгалтера установить Токен и даже если он видит Смарт-кард-ридер и CD от токена, то система не работает. Да, запускается проброшенный start.exe но система выдает ошибку HWDSSL DEVICE (проверяли с разных машин и ноутбуков). Даже если бы этот вариант работал, он нам не подходит, так как нам нельзя просто так отдавать банковский ключи сотрудникам на дом.
II) Если на Рабочем компе оставить Токен, то подключение по RDP не видит PIN коды (если только пользователь не зашел консольно или через подобие teamviever и не запустил start.exe вручную) а потом зашел через RDP. Но этот вариант нам тоже не подходит. Про системе ИБ мы не может оставлять токены в компьютерах в нерабочее время, выходные или без присмотра сотрудника на рабочем месте. Либо кто-то довереный должен это делать вручную и опять же кто-то должен или логинится, запускать из консоли start.exe или удаленно через teamviever это делать, но использовать что-то кроме VPN RDP нам запрещено.
III) Вариант который был реализован и нам подходит с точки зрения ИБ и который рабочий в настоящий момент. Токен находится в серверной, закрытой стойке на физическом сервере. Далее с помощью USB Redirector мы пробрасываем на Рабочий Бухгалтерский компьютер USB Токен сбербанка, при этом происходит автоматическое подключение токена при загрузки компьютера бухгалтера с помощью USB redirector. До этого Все файлы с CD Токена были скопированы на Диск C: в папкуб напрмиер Sber и была создана задача которая под системой запускает после загрузки компьютера Start.exe.
Получаем после загрузки компьютера автоматически подмонтируется USB токен с удаленного сервера к необходимой бухгалтерской машине, затем запускается start.exe при загрузке компьютера с помощью задачи. Когда бухгалтер подключается по терминал сессии из дома и подключается к Сбер банк Бизнесс Он-Лайн или Сбер Бизнес, то системапрекрасно видит Токен, система видит PIN и вся система в целом работает. Так делается на всех необходимых компьютерах бухгалтерии.
- Минус - если размонтировать USB с токеном а потом под монтировать Токен, то ничего не работает и чтобы начать работать надо перезагрузить рабочий компьютер (как я понимаю тут надо сервис перезапускать который запускает start.exe, а у простых пользователях этой возможности нет по причине прав доступа, но тоже можно легко можно решить написав сам свой сервис с функцией “передергивания” start.exe для пользователя в RDP сессии, что наверное я сам напишу если других мыслей не возникнет)
+ Плюсы - соблюдаем ИБ для своей организации, Бухгалтера согласно инструкции кому надо подключают данный токен Программно к своему рабочему компьютеру через бесплатного клиента USB Redirector, в режим автоматического подключения при загрузке системы и перезагружают совой рабочий компьютер, далее начинают штатно работать со Сбер клиентом как на локальном компьютере через RDP сессию.
Ниже скриншоты, самой программы USB Redirector (серверной части) и два скрина планировщика заданий, в котором запускается start.exe под учётной записью система.
В целом все.
подробнее mag@npfprof.ru