При включенной дополнительной защите для процесса локальной системы безопасности (LSA) не работает Smart Card Logon.
При включенном LSA проверяется подпись всех подключаемых компонентов, в том числе и библиотек, используемых при логоне и которые могут быть не подписаны сертификатом Microsoft.
Для генерации ключей вместо CSP вендора (eToken CSP или Athena CSP), использовать CSP Microsoft (например, Microsoft Base Smart Card Crypto Provider). Возможно, это также потребует дополнительных правок ветки реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\
В ветке необходимо найти используемый тип смарт-карты и прописать CSP и KSP, например:
Crypto Provider - Microsoft Base Smart Card Crypto Provider
Smart Card Key Storage Provider - Microsoft Smart Card Key Storage Provider