Виртуальная смарт-карта в Windows 10

Виртуальные смарт-карты предлагают предприятиям те же преимущества, что и физические смарт-карты, но по более низкой цене. Вы можете создать виртуальную смарт-карту разными способами. Они обеспечивают дополнительный уровень безопасности онлайн-транзакций и в определенных ситуациях могут использоваться вместо физических смарт-карт. В этой статье мы рассмотрим, как использовать виртуальные смарт-карты в Windows 10.

Что такое виртуальная смарт-карта?

Виртуальная смарт-карта это Майкрософтрешение на основе доверенного платформенного модуля (TPM). Он предназначен для защиты оборудования путем создания ключей шифрования и сохранения части информации о ключах в TPM. Он предоставляет сертификаты для Active Directory для аутентификации устройств и пользователей.

Виртуальные смарт-карты работают аналогично большинству традиционных смарт-карт, но более эффективны. Традиционные смарт-карты используют шифрование или чипы. Виртуальная смарт-карта хранит ключевую информацию непосредственно в устройстве. Он включает двухфакторную аутентификацию (2FA) на устройстве пользователя без дополнительного оборудования. Виртуальные смарт-карты могут защитить ИТ-системы компании от внешних угроз. Эти внешние угрозы включают хакерские атаки или несанкционированный доступ с других внешних устройств.

После настройки виртуальной смарт-карты вы можете ввести правильный PIN-код на устройстве для правильного входа в систему. Он всегда будет отображаться как вставленная смарт-карта в Windows. Операционная система предоставляет приложению виртуальный смарт-ридер и виртуальную смарт-карту, когда вам нужно их использовать. Приложение имеет тот же интерфейс, что и физическая смарт-карта. Таким образом, вы можете войти в данную систему быстрее.

Виртуальная смарт-карта является виртуальной, поэтому ее использование обходится дешевле. Вы можете сэкономить на покупке дополнительного оборудования для смарт-карт.

Для функций виртуальных смарт-карт доступны следующие типы смарт-карт.

• Универсальные смарт-карты ISO – 7816
• Немецкие электронные удостоверения личности (NPA) с поддержкой EAC (PACE, TA, CA)
• Электронный паспорт с поддержкой BAC (ePass/MRTD)
• Смарт-карты Криптофлекс

Как использовать виртуальные смарт-карты в Windows 10?

Виртуальная смарт-карта доступна для устройств, оснащенных доверенным платформенным модулем (версия 1.2 или 2.0), которые были добавлены в Windows 10. Кроме того, крайне важно иметь доступную рабочую среду инфраструктуры KPI. Например, более распространенные службы сертификации Microsoft.

Далее мы разделили весь процесс на три этапа:

• Создайте шаблон сертификата (соответствующий требованиям для регистрации виртуальной смарт-карты)
• Создание виртуальной смарт-карты (поддерживается TPM)
• Регистрация сертификата виртуальной смарт-карты TPM

Кроме того, вам нужно будет убедиться, что на вашем устройстве установлен TPM. Вы можете запустить tpm. msc, чтобы попробовать это.

Создание шаблона сертификата

Первый шаг, который нам нужно сделать, это создать шаблон сертификата, соответствующий требованиям виртуальной смарт-карты. Давайте сделаем следующее, используя Microsoft Certificate Services в качестве примера инфраструктуры PKI в домене Windows.

• Откройте консоль управления Microsoft (MMC).
• Нажмите «Файл» и нажмите «Добавить/удалить единицы управления».
• Нажмите «Шаблоны сертификатов» в списке доступных единиц управления.
• Щелкните Добавить файл.
• Дважды щелкните, чтобы просмотреть все шаблоны сертификатов, расположенные в корневом каталоге консоли MMC.
• Щелкните правой кнопкой мыши шаблон входа со смарт-картой.
• Щелкните Копировать шаблон.

Просмотрите центр сертификации на вкладке «Совместимость» и при необходимости измените его.

Укажите имя на вкладке Общие и установите допустимое значение на желаемое значение. Укажите имя для входа на виртуальную смарт-карту TPM.

На вкладке «Запрос» установите для параметра «Использование» значение Подпись и вход по смарт-карте. Затем нажмите Подсказать пользователю при регистрации.

На вкладке Криптография установите Минимальный размер ключа до 2048. выбирать Запросы должны использовать одного из следующих поставщиков. Выбирать Поставщик криптографии базовой смарт-карты Майкрософт.

Добавьте группу безопасности, которой вы хотите предоставить доступ для регистрации. Этот выбор отображается на вкладке «Безопасность».

Нажмите Подтверждать для завершения изменений для создания нового шаблона. В это время ваш новый шаблон появится в списке шаблонов сертификатов.

Выберите «Файл» и нажмите «Добавить/удалить оснастку». чтобы добавить блок управления Certification Authority в консоль MMC. Затем выберите компьютер, которым система запрашивает управление, как компьютер, на котором расположен центр сертификации.

Затем разверните Центр сертификации (локальный) на левой панели MMC. Затем вы можете расширить свой ЦС в списке Центров сертификации.

Щелкните правой кнопкой мыши шаблон сертификата. Затем нажмите «Создать» и нажмите на шаблон сертификата вы хотите оформить.

Затем вам нужно будет выберите новый шаблон вы только что создали из списка и нажмите Подтвердить.

Прежде чем продолжить, остановите и запустите службу сертификатов в ЦС.. Это делается путем возврата к MMC после успешного копирования шаблона. Щелкните правой кнопкой мыши список центров сертификации. Выберите «Все задачи» и нажмите «Остановить службы». Щелкните правой кнопкой мыши имя ЦС еще раз. Нажмите «Все задачи», а затем нажмите «Запустить службу».

Вы можете предоставить доступ всем пользователям при добавлении группы безопасности. Вам нужно щелкнуть, чтобы выбрать группы пользователей, прошедших проверку подлинности. Затем просто пропишите для них разрешения. Вы должны знать, что для репликации вашего вновь созданного шаблона на всех ваших серверах может потребоваться некоторое время. Вы можете использовать его в этом списке только после успешной репликации.

Создание виртуальной смарт-карты TPM

На этом шаге вы будете использовать инструмент командной строки Tpmvscmgr.exe. Это гарантирует, что вы сможете успешно создавать виртуальные смарт-карты на клиентских компьютерах. Это делается следующим образом:

• Откройте командную строку и включите присоединенный компьютер, используя учетные данные администратора.
• Введите и запустите эту команду в командной строке:

tpmvscmgr.exe create/name TestVSC/pin default/admin key random/generate

Затем он создаст виртуальную смарт-карту. Эта виртуальная смарт-карта позволит вам опустить ключ разблокировки и создать файловую систему на карте.

Подождите несколько секунд, пока процесс завершится. tpmvscmgr.exe предоставит вам идентификатор экземпляра устройства виртуальной смарт-карты TPM, когда это будет сделано. Этот идентификатор поможет вам управлять всеми вашими виртуальными смарт-картами или удалять их.

Обратите внимание, что вы должны установить PIN-код по умолчанию при выполнении вышеуказанной команды. Вам нужно ввести /pin по умолчанию вместо /pin по умолчанию, когда будет предложено ввести PIN-код.

Регистрация сертификата виртуальной смарт-карты TPM

После этого вам также нужно будет предоставить ему учетные данные для входа, необходимые для завершения процесса. Он будет полностью функциональным только в том случае, если у вас есть соответствующие учетные данные для входа.

• Введите certmgr.MSC в меню «Пуск» клиента Windows 10.. Эта команда поможет вам быстро открыть консоль сертификатов.
• Затем щелкните правой кнопкой мыши диспетчер сертификатов для вашего хранилища. Щелкните правой кнопкой мыши на человеке, выберите все задачи и выберите Подать заявку на новый сертификат.

Этот шаг поможет вам запустить мастер регистрации сертификатов. Затем мы нажимаем «Следующий“

Затем Нажмите "Далее. Продолжайте нажимать Далее на Выберите политику регистрации сертификатов. экран монитора.

Выберите имя созданного шаблона сертификата. на предыдущем шаге. Затем нажмите Зарегистрироваться.

Далее введите PIN-код которую вы создали при создании виртуальной смарт-карты TPM, и нажмите кнопку ОК.

Дождитесь завершения предыдущей регистрации и нажмите «Готово».

Запрос на ввод устройства появляется в сеансе регистрации сертификата виртуальной смарт-карты TPM выше. Затем вы должны выбрать соответствующую виртуальную смарт-карту Microsoft, которую вы использовали на предыдущих шагах. Обычно он отображается как идентификационное устройство, т. е. профиль Microsoft.

Как только все вышеперечисленные процессы завершены, установка виртуальной смарт-карты windows 10 завершена. На вашем компьютере появилась новая возможность входа в систему в качестве защищенного устройства..

Предположим, вы хотите убедиться, что ваша виртуальная смарт-карта установлена и что регистрация сертификата прошла успешно. Вы можете выйти из текущего сеанса и войти снова. Вы можете увидеть новый значок виртуальной смарт-карты TPM на экране входа в систему на рабочем столе. Вы будете перенаправлены в диалоговое окно входа в систему с помощью смарт-карты TPM, если предыдущее действие не будет выполнено.

Нажмите на этот новый значок смарт-карты, отображаемый на экране входа в систему. Затем введите свой PIN-код. Нажмите OK еще раз, и вы быстро войдете в свою учетную запись домена.

Использование виртуальных смарт-карт с удаленным рабочим столом

Вы можете использовать виртуальные смарт-карты с удаленным рабочим столом, чтобы обеспечить дополнительный уровень безопасности при доступе к удаленным компьютерам. Чтобы использовать виртуальную смарт-карту с удаленным рабочим столом, вам потребуется устройство чтения смарт-карт и виртуальная смарт-карта с установленным цифровым сертификатом. Выполните следующие действия, чтобы использовать виртуальную смарт-карту с удаленным рабочим столом:

1. Откройте подключение к удаленному рабочему столу на вашем компьютере.
2. Нажмите кнопку «Параметры».
3. Перейдите на вкладку «Локальные ресурсы».
4. Нажмите кнопку «Еще».
5. Установите флажок «Смарт-карта».
6. Нажмите кнопку «ОК».
7. Введите информацию об удаленном компьютере и нажмите кнопку «Подключиться».
8. Вставьте устройство чтения смарт-карт и используйте виртуальную смарт-карту для аутентификации при появлении соответствующего запроса.

Использование виртуальных смарт-карт с Microsoft Passport

Microsoft Passport — это функция Windows 10, которая позволяет использовать виртуальную смарт-карту или метод биометрической аутентификации (например, отпечаток пальца или распознавание лица) для входа на компьютер или доступа к определенным ресурсам. Чтобы использовать виртуальную смарт-карту с Microsoft Passport, вам потребуется устройство чтения смарт-карт и виртуальная смарт-карта с установленным цифровым сертификатом. Выполните следующие действия, чтобы использовать виртуальную смарт-карту с Microsoft Passport:

1. Откройте приложение «Настройки» на своем компьютере.
2. Нажмите на вкладку «Аккаунты».
3. Перейдите на вкладку «Параметры входа».
4. Перейдите на вкладку «ПИН-код Windows Hello».
5. Нажмите кнопку «Настроить».
6. Следуйте инструкциям по настройке Microsoft Passport. Это может включать создание PIN-кода и настройку ключа восстановления.
7. Вставьте устройство чтения смарт-карт и используйте виртуальную смарт-карту для аутентификации при появлении соответствующего запроса.

Использование виртуальных смарт-карт с другими приложениями

Помимо описанных выше целей, вы можете использовать виртуальные смарт-карты с другими приложениями, поддерживающими аутентификацию с помощью смарт-карт. Ознакомьтесь с документацией по соответствующему приложению, чтобы узнать, поддерживает ли оно проверку подлинности с помощью смарт-карты, и следуйте инструкциям по использованию виртуальной смарт-карты с приложением.

Где я могу использовать свою виртуальную смарт-карту?

Виртуальная смарт-карта используется в некоторых местах, где это важно. Вы можете использовать его для аутентификации пользователей на внешних ресурсах. Вы также можете использовать его для защиты данных с помощью безопасного шифрования. Многие предприятия также используют его для предоставления надежных подписей для обеспечения их целостности. Вы можете легко развернуть виртуальный проверка подлинности смарт-карты самостоятельно или путем покупки решения. Это чрезвычайно надежный метод аутентификации, который подходит для любого размера бизнеса. Ниже приведены три наиболее распространенных применения виртуальных смарт-карт в жизни.

Варианты использования на основе аутентификации

• Удаленный доступ через двухфакторную аутентификацию
• Аутентификация на стороне клиента
• Перенаправление виртуальной смарт-карты для подключения к удаленному рабочему столу
• Виртуальные смарт-карты с Windows To Go

Варианты использования конфиденциальности

• Шифрование электронной почты S/MIME
• BitLocker для томов данных

Пример использования целостности данных

• Подписанные данные

Виртуальная смарт-карта, возможно, является более надежной версией физической смарт-карты. Это значительно упрощает аутентификацию. Он также хорошо подходит для наших различных потребностей в аутентификации. Примеры включают беспроводные сети, вход в систему с рабочего стола и службы VPN.

---

Подробнее о виртуальной смарт-карте Часто задаваемые вопросы

1. Что такое виртуальная смарт-карта и чем она отличается от физической смарт-карты?

   Виртуальная смарт-карта — это программная реализация смарт-карты. Это может быть использовано для безопасной аутентификации и управления доступом. В отличие от физической смарт-карты, которая представляет собой физическое устройство со встроенным чипом, виртуальная смарт-карта использует криптографические возможности хост-устройства (например, компьютера или мобильного телефона) для обеспечения того же уровня безопасности.

2. Каковы преимущества использования виртуальных смарт-карт вместо физических смарт-карт?

   Виртуальные смарт-карты имеют ряд преимуществ по сравнению с физическими смарт-картами, например, ими проще управлять, развертывать и обновлять. Это потому, что они не требуют физического распространения. Виртуальные смарт-карты также более экономичны, поскольку не требуют покупки и обслуживания физических устройств.

3. Какие меры безопасности используются для защиты виртуальных смарт-карт от несанкционированного доступа или кражи?

   В виртуальных смарт-картах используются различные меры безопасности для защиты от несанкционированного доступа или кражи, такие как защита PIN-кодом или паролем, шифрование конфиденциальных данных и политики контроля доступа. Кроме того, виртуальные смарт-карты защищены от несанкционированного доступа, поэтому любые попытки изменить их или получить к ним доступ без надлежащей авторизации вызовут предупреждения или отключат карту.

4. Как виртуальные смарт-карты работают с различными операционными системами и приложениями?

   Виртуальные смарт-карты совместимы с различными операционными системами и приложениями. Это связано с тем, что они используют стандартизированные интерфейсы и протоколы для связи. Эти интерфейсы и протоколы позволяют виртуальным смарт-картам беспрепятственно работать с различными приложениями, поддерживающими проверку подлинности смарт-карт.

5. Можно ли использовать виртуальные смарт-карты для безопасной удаленной аутентификации, и если да, то как?

   Да, виртуальные смарт-карты можно использовать для безопасной удаленной аутентификации. Виртуальные смарт-карты могут удаленно аутентифицировать пользователей с помощью криптографических протоколов, таких как TLS, VPN или протокол удаленного рабочего стола (RDP).

6. Каковы некоторые распространенные варианты использования виртуальных смарт-карт и как они применяются в разных отраслях?

   Виртуальные смарт-карты используются в различных отраслях и приложениях, таких как государственные учреждения, финансовые учреждения, здравоохранение и электронная коммерция. Они используются для безопасного контроля доступа, защиты данных и проверки личности.

7. Как виртуальные смарт-карты вписываются в более широкий ландшафт технологий цифровой идентификации и аутентификации?

   Виртуальные смарт-карты являются частью более широкого спектра технологий цифровой идентификации и аутентификации. Это включает в себя биометрическую аутентификацию, многофакторную аутентификацию и цифровые сертификаты. Виртуальные смарт-карты обеспечивают дополнительный уровень безопасности и гибкости для этих технологий, поскольку их можно использовать на разных устройствах и в разных приложениях.

8. Каков процесс подготовки и управления виртуальными смарт-картами и кто за это отвечает?

   Процесс подготовки и управления виртуальными смарт-картами может различаться в зависимости от конкретной реализации и отрасли, в которой они используются. Как правило, за подготовку и управление виртуальными смарт-картами отвечает ИТ-отдел или назначенная группа безопасности.