Флешку залить эпоксидной, в затылок пользователю камеру, к ноге браслет

У рутокен есть защищённый носитель рутокен ЭЦП флеш. Можно на нее запилить операционную систему. Можно контейнер зашифровать веракрипт. Но рутокен не будет работать когда он вставлен на локальную тачку в офисе , а вы цепляетесь по рдп к ней

По RDP ключ должен быть в конце цепочки, в руках пользователя. Можно пользовать не только RDP

И это свойство протокола RDP, любые смарт карты так себя ведут

На домашнем ПК пользователя я ничего обеспечить не могу. Это ПК пользователя и устанавливать туда доп СЗИ мне никто не даст.

без разницы чей ключ, руководителя либо простого сотрудника. давать его домой не хочу никому.

ЭП должна быть исключительно у лица, которому она выдана. Судебная практика никого не смущает по этой части? Ну и применять ЭП можно исключительно на рабочих машинах. В случае если это удалёнка - значит не rdp, а криптография на ведомственном мобильном решении с доступом в корпоративную сеть.

Иными словами: та техническая реализация которую Вы озвучили работоспособна, вопрос доверять/не доверять/ контролировать или нет на усмотрение Вашего руководства)

Как всегда риск-аппетит бизнеса. Вам нужно отправить в моменте 2 недель 100 человек на удалёнке. 50 из которых должны подписывать своей ЭП документы. Купить 100 ноутбуков, 50 комплектов сзи, скзи не успеваете. Можно ключ оставлять на рабочем ПК. Только поставьте несъемный носитель на учёт, добавьте какое-нибудь шифрование контейнера если у вас подозрения на админов ЛВС

Если с точки зрения как именно это реализовать, используйте альтернативные RDP решения. Если память не изменяет то VNC может помочь, либо реализовывать с использованием средств удаленного доступа аля Teamviewer/amyadmin. Ну или еще решения, в том числе которые поддерживают наличие собственного сервера подключений.

Teamviewer и ammy admin не обеспечивают безопасность. Если уж без них никак, то тогда хотя бы имеющие сертификат ФСТЭК + шифрованный канал

Ammy безопаснее стандартного rdp-клиента на пк? Прям огонь. Вы меня пугаете

а я такого не говорил. Я говорил про инструмент который позволит реализвоать варианты когда ключ офисе к пк подключен. Особенно с учетом того что на моей памяти имеено ами попадал в антивирусные базы, из-за того что ломали их сайт и дополняли ammy "полезной нагрузкой"

Оптимально если "кровь из носу" токен с эп в офисе - нормальное vpn решение до корпоративного сервера аля vnc, не помню от отечественных тоже какие то решения по типу тимвувера но с собственным сервером соединений внутри периметра. И дальше уже в рамках собственного vpn к рабочей станции. Ну и все это дело логировать в сием. Я бы еще дополнительно впн строил тот который при установлении соединения, обрубает остальные связи. По принципу или из дома работаем работу, или отключаемся и сидим в соцсетях.

С такими желаниями добро пожаловать в продуктовую линейку Кода безопасности и Инфотекса)

у кода всегда была возможность как и у инфотекса на клиентах, в тлсах не смотрел не могу сказать

да и уверен что в иных реализациях, что-то подомное можно сделать

Грамотная реализация

Вопрос только в «rdp видит эп»

Совсем не оптимально