Virtuelle Smartcards bieten Unternehmen dieselben Vorteile wie physische Smartcards zu geringeren Kosten. Sie können Ihre virtuelle Smartcard auf viele Arten erstellen. Sie bieten eine zusätzliche Sicherheitsebene für Online-Transaktionen und können in bestimmten Situationen anstelle von physischen Smartcards verwendet werden. In diesem Artikel erfahren Sie, wie Sie virtuelle Smartcards in Windows 10 verwenden können.
Was ist eine virtuelle Chipkarte?
Virtuelle Chipkarte ist Microsoftdie auf dem Trusted Platform Module (TPM) basierende Lösung. Es dient dem Schutz von Hardware, indem es Verschlüsselungsschlüssel erzeugt und einen Teil der Schlüsselinformationen im TPM speichert. Es bietet Zertifikate für Active Directory, um Geräte und Benutzer zu authentifizieren.
Virtuelle Smartcards funktionieren ähnlich wie die meisten herkömmlichen Smartcards, sind aber effizienter. Herkömmliche Chipkarten verwenden Verschlüsselung oder Chips. Eine virtuelle Smartcard speichert die Schlüsselinformationen direkt auf dem Gerät. Sie ermöglicht die Zwei-Faktor-Authentifizierung (2FA) auf dem Gerät des Benutzers ohne zusätzliche Hardware. Virtuelle Smartcards können die IT-Systeme eines Unternehmens vor externen Bedrohungen schützen. Zu diesen externen Bedrohungen gehören Hackerangriffe oder unbefugter Zugriff von anderen externen Geräten.
Nachdem Sie die virtuelle Smartcard konfiguriert haben, können Sie die richtige PIN auf dem Gerät eingeben, um sich ordnungsgemäß anzumelden. Sie wird in Windows immer als eingelegte Smartcard angezeigt. Das Betriebssystem stellt der Anwendung das virtuelle Lesegerät und die virtuelle Smartcard zur Verfügung, wenn Sie sie verwenden möchten. Die Anwendung hat die gleiche Schnittstelle wie eine physische Smartcard. So können Sie sich schneller bei einem bestimmten System anmelden.
Die virtuelle Smartcard ist virtuell, so dass ihre Verwendung weniger kostet. Sie können die Kosten für den Kauf zusätzlicher Smartcard-Hardware einsparen.
Die folgenden Arten von Smartcards sind für die virtuelle Smartcard-Funktionalität verfügbar.
- Universelle ISO - 7816 Chipkarten
- Deutsche elektronische Personalausweise (NPA) mit Unterstützung der EAC (PACE, TA, CA)
- BAC-fähiger ePass (ePass/MRTD)
- Cryptoflex Chipkarten
Wie verwende ich virtuelle Smartcards in Windows 10?
Die virtuelle Smartcard ist für Geräte mit TPM (Version 1.2 oder 2.0) verfügbar, die zu Windows 10 hinzugefügt wurden. Außerdem ist eine zugängliche Arbeitsumgebung für die KPI-Infrastruktur von entscheidender Bedeutung. Zum Beispiel die verbreiteten Microsoft Certificate Services.
Als nächstes haben wir den gesamten Prozess in drei Schritte unterteilt:
- Erstellen Sie eine Zertifikatsvorlage (die die Anforderungen für die Registrierung einer virtuellen Smartcard erfüllt)
- Erstellen einer virtuellen Smartcard (unterstützt von TPM)
- Registrierung eines Zertifikats für eine virtuelle TPM-Smartcard
Darüber hinaus müssen Sie überprüfen, ob auf Ihrem Gerät ein TPM installiert ist. Sie können tpm. msc ausführen, um dies zu testen.
Erstellen einer Zertifikatsvorlage
Der erste Schritt, den wir tun müssen, ist die Erstellung einer Zertifikatsvorlage, die den Anforderungen der virtuellen Smartcard entspricht. Lassen Sie uns folgendes tun, indem wir Microsoft Certificate Services als Beispiel für eine PKI-Infrastruktur in einer Windows-Domäne verwenden.
- Öffnen Sie die Microsoft Management Console (MMC).
- Klicken Sie auf Datei und klicken Sie auf Verwaltungseinheiten hinzufügen/entfernen.
- Klicken Sie auf Zertifikatsvorlagen in der Liste der verfügbaren Verwaltungseinheiten
- Klicken Sie auf Datei hinzufügen.
- Doppelklicken Sie darauf, um alle Zertifikatsvorlagen anzuzeigen, die sich im Stammverzeichnis der MMC-Konsole befinden.
- Klicken Sie mit der rechten Maustaste auf die Smartcard-Anmeldevorlage.
- Klicken Sie auf Vorlage kopieren.
Sehen Sie sich die Zertifizierungsstelle auf der Registerkarte Kompatibilität an und ändern Sie sie nach Bedarf.
Geben Sie den Namen auf der Registerkarte Allgemein an und setzen Sie den gültigen Wert auf den gewünschten Wert. Geben Sie einen Namen für das TPM Virtual Smart Card Logon an.
Legen Sie auf der Registerkarte Anforderung die Verwendung auf fest Signatur und Smartcard-Anmeldung. Dann klick Benutzer bei der Registrierung auffordern.
Legen Sie auf der Registerkarte Kryptografie die Mindestschlüsselgröße bis 2048. wählen Anfragen müssen einen der folgenden Anbieter verwenden. Wählen Microsoft Base Smartcard-Kryptoanbieter.
Fügen Sie die Sicherheitsgruppe hinzu, der Sie Registrierungszugriff gewähren möchten. Diese Auswahl ist auf der Registerkarte Sicherheit sichtbar.
Klicken Bestätigen um die Änderungen abzuschließen und eine neue Vorlage zu erstellen. Zu diesem Zeitpunkt wird Ihre neue Vorlage in der Liste der Zertifikatvorlagen angezeigt.
Wählen Sie Datei und klicken Sie auf Snap-In hinzufügen/entfernen. um die Verwaltungseinheit der Zertifizierungsstelle zu Ihrer MMC-Konsole hinzuzufügen. Wählen Sie dann den Computer, den das System zur Verwaltung auffordert, als den Computer aus, auf dem sich die CA befindet.
Erweitern Sie als nächstes die Zertifizierungsstelle (lokal) im linken Bereich der MMC. Sie können dann Ihre Zertifizierungsstelle in der Liste Zertifizierungsstelle erweitern.
Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage. Dann klicken Sie auf Neu und klicken Sie auf die Zertifikatsvorlage Sie ausgeben möchten.
Dann müssen Sie Wählen Sie die neue Vorlage aus Sie gerade aus der Liste erstellt haben, und klicken Sie auf Bestätigen.
Stoppen und starten Sie den Zertifikatdienst auf der Zertifizierungsstelle, bevor Sie fortfahren. Gehen Sie dazu zurück zur MMC, nachdem die Vorlage erfolgreich kopiert wurde. Klicken Sie mit der rechten Maustaste auf die Liste der Zertifizierungsstellen. Wählen Sie Alle Aufgaben und klicken Sie auf Dienste beenden. Klicken Sie erneut mit der rechten Maustaste auf den Namen der Zertifizierungsstelle. Klicken Sie auf Alle Tasks und dann auf Dienst starten.
Sie können allen Benutzern Zugriff gewähren, wenn Sie eine Sicherheitsgruppe hinzufügen. Sie müssen auf klicken, um die authentifizierten Benutzergruppen auszuwählen. Registrieren Sie dann einfach die Berechtigungen für sie. Sie müssen wissen, dass es einige Zeit dauern kann, bis Ihre neu erstellte Vorlage auf allen Ihren Servern repliziert ist. Sie können sie erst nach erfolgreicher Replikation in dieser Liste verwenden.
Erstellen einer virtuellen TPM-Smartcard
In diesem Schritt verwenden Sie das Befehlszeilentool Tpmvscmgr.exe. Sie stellt sicher, dass Sie erfolgreich virtuelle Smartcards auf Client-Computern erstellen können. Dazu gehen Sie folgendermaßen vor:
- Öffnen Sie die Eingabeaufforderung und schalten Sie den verbundenen Computer mit den administrativen Anmeldedaten ein.
- Geben Sie diesen Befehl in die Eingabeaufforderung ein und führen Sie ihn aus:
tpmvscmgr.exe create /Name TestVSC /pin default /admin Schlüssel random /generate
Es wird dann eine virtuelle Smartcard erstellt. Diese virtuelle Smartcard ermöglicht es Ihnen, den Freischaltschlüssel wegzulassen und das Dateisystem auf der Karte zu erzeugen.
Warten Sie einige Sekunden, bis der Vorgang abgeschlossen ist. tpmvscmgr.exe teilt Ihnen nach Abschluss des Vorgangs die Geräteinstanz-ID der virtuellen TPM-Smartcard mit. Mit dieser ID können Sie alle Ihre virtuellen Smartcards verwalten oder löschen.
Beachten Sie, dass Sie beim Ausführen des obigen Befehls die PIN-Voreinstellung festlegen müssen. Sie müssen /pin default statt /pin default eingeben, wenn Sie zur Eingabe der PIN aufgefordert werden.
Registrierung des TPM Virtual Smart Card-Zertifikats
Danach müssen Sie es auch mit den Anmeldedaten ausstatten, die Sie benötigen, um den Vorgang abzuschließen. Es ist nur dann voll funktionsfähig, wenn Sie über die entsprechenden Anmeldedaten verfügen.
- Geben Sie certmgr.MSC in das Startmenü des Windows 10-Clients ein. Dieser Befehl hilft Ihnen, die Zertifikatskonsole schnell zu öffnen.
- Dann Klicken Sie mit der rechten Maustaste auf den Zertifikatsmanager für Ihre Aufbewahrung. Klicken Sie mit der rechten Maustaste auf die Person, Wählen Sie Alle Aufgaben aus und entscheide dich dafür Beantragen Sie ein neues Zertifikat.
Dieser Schritt wird Ihnen helfen Starten Sie den Assistenten für die Zertifikatregistrierung. Dann klicken wir auf „Nächste„
Dann Weiter klicken. Klicken Sie weiter auf Weiter Wählen Sie Zertifikatregistrierungsrichtlinie aus Anzeigebildschirm.
Wählen Sie den Namen der von Ihnen erstellten Zertifikatvorlage aus im vorherigen Schritt. Dann klicken Sie auf Registrieren.
Als nächstes geben Sie die ein PIN-Passwort Sie beim Erstellen der virtuellen TPM-Smartcard erstellt haben, und klicken Sie auf OK.
Warten Sie, bis die vorherige Registrierung abgeschlossen ist, und klicken Sie dann auf Fertig stellen.
Die Aufforderung zur Eingabe des Geräts erscheint in der Sitzung TPM Virtual Smart Card-Zertifikat registrieren oben. Dann müssen Sie die entsprechende Microsoft Virtual Smart Card auswählen, die Sie in den vorherigen Schritten verwendet haben. Sie wird in der Regel als das Identitätsgerät, d.h. das Microsoft-Profil, angezeigt.
Sobald alle obigen Prozesse abgeschlossen sind, ist die Installation des virtuellen Smartcard-Fensters 10 abgeschlossen. Ihr Computer verfügt über eine neue Option, um sich als sicheres Gerät anzumelden.
Nehmen wir an, Sie möchten überprüfen, ob Ihre virtuelle Smartcard ausgestattet ist und ob die Zertifikatsregistrierung erfolgreich war. Sie können sich von der aktuellen Sitzung abmelden und sich erneut anmelden. Auf dem Anmeldebildschirm des Desktops sehen Sie ein neues Symbol für die virtuelle TPM-Smartcard. Wenn die vorherige Aktion fehlschlägt, werden Sie zum Anmeldedialog für die TPM-Smartcard weitergeleitet.
Klicken Sie auf dieses neue Smartcard-Symbol, das auf dem Anmeldebildschirm angezeigt wird. Geben Sie dann Ihr PIN-Passwort ein. Klicken Sie erneut auf OK, und Sie werden sich schnell bei Ihrem Domänenkonto anmelden.
Virtuelle Chipkarten mit Remote Desktop verwenden
Sie können virtuelle Smartcards mit Remote Desktop verwenden, um beim Zugriff auf entfernte Computer eine zusätzliche Sicherheitsebene zu schaffen. Um eine virtuelle Smartcard mit Remotedesktop zu verwenden, benötigen Sie ein Smartcard-Lesegerät und eine virtuelle Smartcard mit einem installierten digitalen Zertifikat. Folgen Sie diesen Schritten, um eine virtuelle Smartcard mit Remote Desktop zu verwenden:
- Öffnen Sie die Remotedesktopverbindung auf Ihrem Computer.
- Klicken Sie auf die Schaltfläche "Optionen".
- Klicken Sie auf die Registerkarte "Lokale Ressourcen".
- Klicken Sie auf die Schaltfläche "Mehr".
- Klicken Sie auf das Kontrollkästchen "Chipkarte".
- Klicken Sie auf die Schaltfläche "OK".
- Geben Sie die Daten des Ferncomputers ein und klicken Sie auf die Schaltfläche "Verbinden".
- Stecken Sie Ihr Smartcard-Lesegerät ein und verwenden Sie die virtuelle Smartcard, um sich zu authentifizieren, wenn Sie dazu aufgefordert werden.
Verwendung virtueller Smartcards mit Microsoft Passport
Microsoft Passport ist eine Funktion in Windows 10, mit der Sie eine virtuelle Smartcard oder eine biometrische Authentifizierungsmethode (z.B. Fingerabdruck oder Gesichtserkennung) verwenden können, um sich bei Ihrem Computer anzumelden oder auf bestimmte Ressourcen zuzugreifen. Um eine Virtuelle Smartcard mit Microsoft Passport zu verwenden, benötigen Sie ein Smartcard-Lesegerät und eine Virtuelle Smartcard mit einem installierten digitalen Zertifikat. Folgen Sie diesen Schritten, um eine virtuelle Smart Card mit Microsoft Passport zu verwenden:
- Öffnen Sie die App Einstellungen auf Ihrem Computer.
- Klicken Sie auf die Registerkarte "Konten".
- Klicken Sie auf die Registerkarte "Anmeldeoptionen".
- Klicken Sie auf die Registerkarte "Windows Hello PIN".
- Klicken Sie auf die Schaltfläche "Einrichten".
- Folgen Sie den Aufforderungen, um Microsoft Passport einzurichten. Dies kann das Erstellen einer PIN und das Einrichten eines Wiederherstellungsschlüssels beinhalten.
- Stecken Sie Ihr Smartcard-Lesegerät ein und verwenden Sie die virtuelle Smartcard, um sich zu authentifizieren, wenn Sie dazu aufgefordert werden.
Virtuelle Chipkarten mit anderen Anwendungen verwenden
Zusätzlich zu den oben genannten Verwendungszwecken können Sie virtuelle Smartcards auch mit anderen Anwendungen verwenden, die Smartcard-Authentifizierung unterstützen. Prüfen Sie in der Dokumentation der betreffenden Anwendung, ob sie die Smartcard-Authentifizierung unterstützt, und folgen Sie den Anweisungen zur Verwendung einer virtuellen Smartcard mit der Anwendung.
Wo kann ich meine virtuelle Chipkarte verwenden?
Die virtuelle Smartcard wird an einigen Stellen verwendet, wo sie wichtig ist. Sie können sie verwenden, um Benutzer bei externen Ressourcen zu authentifizieren. Sie können sie auch verwenden, um Daten durch sichere Verschlüsselung zu schützen. Viele Unternehmen verwenden sie auch, um zuverlässige Signaturen für ihre Integrität zu erstellen. Sie können virtuelle Karten ganz einfach einsetzen Smartcard-Authentifizierung intern oder durch den Kauf einer Lösung. Es handelt sich um eine extrem starke Authentifizierungsmethode, die für jede Unternehmensgröße geeignet ist. Im Folgenden finden Sie drei gängige Anwendungen für virtuelle Smartcards im Leben.
Authentifizierungsbasierte Anwendungsfälle
- Fernzugriff über Zwei-Faktor-Authentifizierung
- Client-seitige Authentifizierung
- Virtuelle Smartcard-Umleitung für Remote Desktop-Verbindung
- Virtuelle Chipkarten mit Windows To Go
Anwendungsfälle zur Vertraulichkeit
- S/MIME E-Mail-Verschlüsselung
- BitLocker für Datenvolumes
Anwendungsfall Datenintegrität
- Signierte Daten
Eine virtuelle Smartcard ist wohl eine stärkere Version einer physischen Smartcard. Sie macht die Authentifizierung viel einfacher. Außerdem eignet sie sich gut für unsere verschiedenen Authentifizierungsanforderungen. Beispiele hierfür sind drahtlose Netzwerke, Desktop-Anmeldungen und VPN-Dienste.
Weitere Informationen zu häufig gestellten Fragen zu virtuellen Smartcards
-
Was ist eine virtuelle Smartcard und wie unterscheidet sie sich von einer physischen Smartcard?
Eine virtuelle Smartcard ist eine softwarebasierte Implementierung einer Smartcard. Dies kann zur sicheren Authentifizierung und Zugriffskontrolle verwendet werden. Im Gegensatz zu einer physischen Smartcard, bei der es sich um ein physisches Gerät mit einem darin eingebetteten Chip handelt, verwendet eine virtuelle Smartcard die kryptografischen Fähigkeiten des Hostgeräts (z. B. eines Computers oder eines Mobiltelefons), um das gleiche Maß an Sicherheit zu bieten.
-
Welche Vorteile bietet die Verwendung virtueller Smartcards anstelle von physischen Smartcards?
Virtuelle Smartcards haben mehrere Vorteile gegenüber physischen Smartcards, z. B. einfacher zu verwalten, bereitzustellen und zu aktualisieren. Dies liegt daran, dass sie keine physische Verteilung erfordern. Virtuelle Smartcards sind auch kostengünstiger, da sie keine Anschaffung und Wartung physischer Geräte erfordern.
-
Welche Sicherheitsmaßnahmen sind vorhanden, um virtuelle Smartcards vor unbefugtem Zugriff oder Diebstahl zu schützen?
Virtuelle Smartcards verwenden verschiedene Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff oder Diebstahl, wie z. B. PIN- oder Passwortschutz, Verschlüsselung sensibler Daten und Zugriffskontrollrichtlinien. Darüber hinaus sind virtuelle Smartcards so konzipiert, dass sie manipulationssicher sind, sodass alle Versuche, sie ohne entsprechende Autorisierung zu ändern oder darauf zuzugreifen, Warnungen auslösen oder die Karte deaktivieren.
-
Wie funktionieren virtuelle Smartcards mit verschiedenen Betriebssystemen und Anwendungen?
Virtuelle Smartcards sind mit verschiedenen Betriebssystemen und Anwendungen kompatibel. Denn sie nutzen standardisierte Schnittstellen und Protokolle zur Kommunikation. Diese Schnittstellen und Protokolle ermöglichen es virtuellen Smartcards, nahtlos mit verschiedenen Anwendungen zusammenzuarbeiten, die die Smartcard-Authentifizierung unterstützen.
-
Können virtuelle Smartcards zur sicheren Remote-Authentifizierung verwendet werden, und wenn ja, wie?
Ja, virtuelle Smartcards können für die sichere Remote-Authentifizierung verwendet werden. Virtuelle Smartcards können Benutzer mithilfe kryptografischer Protokolle wie TLS, VPN oder Remote Desktop Protocol (RDP) remote authentifizieren.
-
Was sind einige gängige Anwendungsfälle für virtuelle Smartcards und wie werden sie in verschiedenen Branchen eingesetzt?
Virtuelle Smartcards werden in verschiedenen Branchen und Anwendungen eingesetzt, beispielsweise in Regierungsbehörden, Finanzinstituten, im Gesundheitswesen und im E-Commerce. Sie dienen der sicheren Zugangskontrolle, dem Datenschutz und der Identitätsprüfung.
-
Wie passen virtuelle Smartcards in die breitere Landschaft digitaler Identitäts- und Authentifizierungstechnologien?
Virtuelle Smartcards sind Teil der breiteren Landschaft digitaler Identitäts- und Authentifizierungstechnologien. Dazu gehören biometrische Authentifizierung, Multi-Faktor-Authentifizierung und digitale Zertifikate. Virtuelle Smartcards bieten diesen Technologien eine zusätzliche Sicherheitsebene und Flexibilität, da sie für verschiedene Geräte und Anwendungen verwendet werden können.
-
Wie läuft die Bereitstellung und Verwaltung virtueller Smartcards ab und wer ist dafür verantwortlich?
Der Prozess zum Bereitstellen und Verwalten virtueller Smartcards kann je nach konkreter Implementierung und Branche, in der sie verwendet werden, variieren. In der Regel ist die IT-Abteilung oder ein bestimmtes Sicherheitsteam für die Bereitstellung und Verwaltung virtueller Smartcards verantwortlich.