При сохранении учетных данных в клиенте RDP соединения и дальнейшей попытке выполнить подключение по профилю SecurLogon не проверяется наличие ключевого носителя, в результате чего соединение выполняется автоматически.
SecurLogon - это Credential provider, реализующий GUI над входом по паролю, который требует наличия токена для получения и передачи стандартного пароля в ОС Windows. Однако, после получения пароля из токена через профиль SecurLogon, ОС Windows далее оперирует этим паролем также, как если бы он был получен через ввод этого пароля в стандартную форму, в том числе кэширует этот пароль и использует в дальнейшем без запроса повторного ввода.
Для предотвращения автоматического подключения можно выполнить одну из представленных ниже настроек:
На удалённых серверах настроить службу удалённых рабочих столов таким образом, чтобы всегда запрашивался пароль (PIN-код) клиента при подключении. Делается это шаблоном, который расположен в локальных политиках и групповых политиках:
Локальные или групповые Политики \ Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов \ Узел сеансов удаленных рабочих столов \ Безопасность \ Всегда запрашивать пароль при подключении \ Включить
На клиентской машине отключить возможность сохранения пароля в клиенте подключения к удаленному рабочему столу. Делается это шаблоном, который расположен в локальных политиках и групповых политиках:
Локальные или групповые Политики \ Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов \ Клиент подключения к удаленному рабочему столу\ Запретить сохранение паролей \ Включить