что такое смарт карта в компьютере windows 10
Техническая справка по смарт-картам
Применяется к: Windows 10, Windows 11, Windows Server 2016 и выше
Технический справочник smart Card описывает инфраструктуру Windows для физических смарт-карт и работу компонентов, связанных с смарт-картами, в Windows. В этом документе также содержатся сведения о средствах, которые разработчики и администраторы информационных технологий могут использовать для устранения неполадок, отладки и развертывания сильной проверки подлинности на основе смарт-карт на предприятии.
Аудитория
В этом документе объясняется, как Windows инфраструктура смарт-карт. Чтобы понять эту информацию, необходимо иметь базовые знания об инфраструктуре общедоступных ключей (PKI) и понятиях смарт-карт. Этот документ предназначен для:
Enterprise ИТ-разработчики, менеджеры и сотрудники, которые планируют развертывание или использование смарт-карт в своей организации.
Поставщики смарт-карт, которые пишут минидрайверы смарт-карт или поставщики учетных данных.
Что такое смарт-карты?
Смарт-карты — это переносные портативные устройства, которые могут повысить безопасность таких задач, как проверка подлинности клиентов, подписание кода, защита электронной почты и вход с Windows учетной записью домена.
Хранилище с устойчивостью к взлому для защиты частных ключей и других форм личной информации.
Изоляция критически важных для безопасности вычислений, которые включают проверку подлинности, цифровые подписи и обмен ключами с других частей компьютера. Эти вычисления выполняются на смарт-карте.
Переносимость учетных данных и другой личной информации между компьютерами на работе, дома или в пути.
Смарт-карты можно использовать для входов только в учетные записи домена, а не для локальных учетных записей. При использовании пароля для интерактивного доступа к учетной записи домена Windows для проверки подлинности используется протокол Kerberos версии 5 (v5). При использовании смарт-карты операционная система использует проверку подлинности Kerberos v5 с сертификатами X.509 v3.
Виртуальные смарт-карты были Windows Server 2012 и Windows 8 для облегчения необходимости физической смарт-карты, средства чтения смарт-карт и связанного администрирования этого оборудования. Сведения о технологии виртуальных смарт-карт см. в обзоре виртуальных смарт-карт.
Смарт-карты для службы Windows
Применяется к: Windows 10, Windows 11, Windows Server 2016 и выше
В этом разделе для ИТ-специалистов и разработчиков смарт-карт описывается, как смарт-карты для Windows службы (ранее называлась Smart Card Resource Manager) управляют взаимодействием с читателями и приложениями.
Служба Smart Cards для Windows предоставляет базовую инфраструктуру для всех остальных компонентов смарт-карт, так как управляет считыватели смарт-карт и взаимодействия приложений на компьютере. Он полностью соответствует спецификациям, задамым pc/SC Workgroup. Сведения об этих спецификациях см. на сайте Pc/SC Workgroup Specifications.
Служба Smart Cards for Windows работает в контексте локальной службы и реализуется в качестве общей службы процесса хост-службы (svchost). Смарт-карты для Windows, Scardsvr, имеет следующее описание службы:
**** Примечание Чтобы winscard.dll как подходящий установщик класса, файл INF для чтения смарт-карт должен указать следующее для класса и ClassGUID:
Class=SmartCardReader
ClassGuid=
По умолчанию служба настроена для ручного режима. Создателям драйверов чтения смарт-карт необходимо настроить свои INF-файлы, чтобы они запускали службу автоматически, а winscard.dll файлы вызывали заранее установленную точку входа, чтобы запустить службу во время установки. Точка входа определяется как часть класса SmartCardReader и не называется напрямую. Если устройство рекламирует себя как часть этого класса, точка входа автоматически вызывается для запуска службы при вставке устройства. Использование этого метода гарантирует, что служба включена при необходимости, но также отключена для пользователей, не использующих смарт-карты.
Когда служба запущена, она выполняет несколько функций:
Он регистрируется для уведомлений службы.
Он регистрируется для уведомлений Plug and Play (PnP), связанных с удалением и добавлениями устройств.
Он инициализирует кэш данных и глобальное событие, которое сигнализирует о начале службы.
**** Примечание Для реализации смарт-карт рассмотрите возможность отправки всех Windows операционных систем с помощью считывателей смарт-карт через службу Smart Cards для Windows. Это обеспечивает интерфейс для отслеживания, выбора и связи со всеми драйверами, которые объявляют себя членами группы устройств чтения смарт-карт.
Смарт-карты для Windows классифицируют каждый слот чтения смарт-карт как уникальный читатель, и каждый слот также управляется отдельно, независимо от физических характеристик устройства. Служба Smart Cards для Windows обрабатывает следующие действия высокого уровня:
Оповещание клиентов о новых читателях
Сериализация доступа к читателям
Доступ к смарт-картам
Туннельные работы с командами, определенными для чтения
Использование виртуальных смарт-карт
Применяется к: Windows 10, Windows Server 2016
В этом разделе для ИТ-специалистов описываются требования к виртуальным смарт-картам, использование виртуальных смарт-карт и доступные средства, которые помогут вам создавать и управлять ими.
Требования, ограничения и ограничения
| Область | Требования и сведения |
|---|---|
| Поддерживаемые операционные системы | Windows Server 2016 Windows Server2012R2 Windows Server 2012 Windows 10 Windows 8.1 Windows 8 |
| Поддерживаемый модуль доверенных платформ (TPM) | Любой TPM, который соответствует основным спецификациям TPM для версии 1.2 или версии 2.0 (как установлено группой доверенных вычислений), поддерживается для использования в качестве виртуальной смарт-карты. Дополнительные сведения см. в главной спецификации TPM. |
| Поддерживаемые виртуальные смарт-карты на компьютере | Одновременно можно подключать десять смарт-карт к компьютеру или устройству. Это включает в себя физические и виртуальные смарт-карты вместе взятые. |
Примечание.
Вы можете создать несколько виртуальных смарт-карт; однако после создания более четырех виртуальных смарт-карт можно заметить ухудшение производительности. Так как все смарт-карты отображаются так, как будто они всегда вставлены, если несколько человек разделяют компьютер или устройство, каждый человек может увидеть все виртуальные смарт-карты, созданные на этом компьютере или устройстве. Если пользователь знает ЗНАЧЕНИЯ ПИН-кода для всех виртуальных смарт-карт, пользователь также сможет их использовать.
Административный ключ должен быть введен в качестве 48 hexadecimal символов. Это трехсекутный тройной DES с методом обивки ISO/IEC 9797 2 в режиме цепочки CBC.
Использование Tpmvscmgr.exe
Для создания и удаления виртуальных смарт-карт TPM для конечных пользователей средство командной строки Tpmvscmgr включено в качестве средства командной строки с операционной системой. Параметры Create and Delete можно использовать для управления виртуальными смарт-картами на локальных или удаленных компьютерах. Сведения об использовании этого средства см. в tpmvscmgr.
Создание и удаление виртуальных смарт-карт программным образом
Виртуальные смарт-карты также можно создавать и удалять с помощью API. Дополнительные сведения см. в следующих классах и интерфейсах:
Можно использовать API, которые были представлены в Windows. Пространство имен Device.SmartCards в Windows Server 2012 R2 и Windows 8.1 для создания Microsoft Store приложений для управления полным жизненным циклом виртуальных смарт-карт. Сведения о создании приложения для этого см. в статью Strong Authentication: Building Apps That Leverage Virtual Smart Cards in Enterprise, BYOD и Consumer Environments | Сборка 2013 | Канал 9.
В следующей таблице описываются функции, которые можно разработать в Microsoft Store приложении:
| Функция | Физическая смарт-карта | Виртуальные смарт-карты |
|---|---|---|
| Запрос и мониторинг считывателей смарт-карт | Да | Да |
| Список доступных смарт-карт в читательской аудитории и извлечение имени и удостоверения карточки | Да | Да |
| Проверка правильности административного ключа карты | Да | Да |
| Предоставление (или переформат) карточки с заданным удостоверением карточки | Да | Да |
| Измените ПИН-код, введите старый ПИН-код и укажите новый ПИН-код | Да | Да |
| Изменение административного ключа, сброс ПИН-кода или разблокирование смарт-карты с помощью метода challenge/response | Да | Да |
| Создание виртуальной смарт-карты | Неприменимо | Да |
| Удаление виртуальной смарт-карты | Неприменимо | Да |
| Настройка политик ПИН-кода | Нет | Да |
Дополнительные сведения об этих Windows API см. в этой ссылке:
Различие виртуальных смарт-карт на основе TPM от физических смарт-карт
Чтобы помочь пользователям визуально отличить виртуальную смарт-карту на основе доверенных платформ (TPM) от физических смарт-карт, виртуальная смарт-карта имеет другой значок. Следующий значок отображается во время входа и на других экранах, которые требуют, чтобы пользователь вошел ПИН-код виртуальной смарт-карты.
Виртуальная смарт-карта на основе TPM помечена устройством безопасности в пользовательском интерфейсе.
Изменение ПИН-кода
ПИН-код виртуальной смарт-карты можно изменить, следуя следующим шагам:
Решение проблем
TPM не предусмотрен
Чтобы виртуальная смарт-карта на основе TPM функционировала должным образом, на компьютере должна быть доступна предварительная TPM. Если TPM отключена в BIOS или не предусмотрена полная собственность и корневой ключ хранилища, создание виртуальной смарт-карты TPM не удастся.
Если TPM инициализирована после создания виртуальной смарт-карты, она больше не будет функционировать, и ее необходимо будет повторно создать.
Если право собственности на TPM было установлено на Windows Vista, TPM не будет готов к использованию виртуальных смарт-карт. Системный администратор должен очистить и инициализировать TPM, чтобы он был подходящим для создания виртуальных смарт-карт TPM.
Если операционная система переустановлена, виртуальные смарт-карты TPM больше не доступны и их необходимо заново создать. При обновлении операционной системы виртуальные смарт-карты TPM будут доступны для использования в обновленной операционной системе.
TPM в состоянии блокировки
Иногда из-за частых неправильных попыток ПИН-кода от пользователя TPM может ввести состояние блокировки. Чтобы возобновить использование виртуальной смарт-карты TPM, необходимо сбросить блокировку на TPM с помощью пароля владельца или дождаться истечения срока блокировки. Разблокировка ПИН-кода пользователя не сбрасывает блокировку в TPM. При блокировке TPM виртуальная смарт-карта TPM выглядит так, как будто она заблокирована. Когда TPM вступает в состояние блокировки, так как пользователь слишком много раз вводил неправильный ПИН-код, может потребоваться сброс ПИН-кода пользователя с помощью средств управления виртуальными смарт-картами, такими как средство командной строки Tpmvscmgr.
См. также
Сведения о случаях использования проверки подлинности, конфиденциальности и целостности данных см. в обзоре виртуальных смарт-карт.
Обзор виртуальной смарт-карты
Применяется к: Windows 10, Windows Server 2016
В этом разделе для ИТ-специалистов представлен обзор технологии виртуальных смарт-карт, разработанной Корпорацией Майкрософт, и ссылки на дополнительные темы, которые помогут вам оценить, спланировать, разработать и администрировать виртуальные смарт-карты.
Вы имеете в виду.
Windows Hello для бизнеса — это современная двух факторовая проверка подлинности для Windows 10. Microsoft будет отмещая виртуальные смарт-карты в будущем, но на данный момент дата не назначена. Клиенты, использующие Windows 10 и виртуальные смарт-карты, должны перейти Windows Hello для бизнеса. Корпорация Майкрософт опубликует дату раньше, чтобы убедиться, что у клиентов есть достаточно времени, чтобы перейти Windows Hello для бизнеса. Рекомендуется использовать Windows 10 развертывание Windows Hello для бизнеса. Виртуальные смарт-карты сохраняют поддержку Windows 7 и Windows 8.
Описание компонента
Технология виртуальных смарт-карт майкрософт обеспечивает сопоставимые преимущества безопасности с физическими смарт-картами с помощью двух факторов проверки подлинности. Виртуальные смарт-карты эмулируют функции физических смарт-карт, но они используют чип Trusted Platform Module (TPM), доступный на компьютерах во многих организациях, а не требует использования отдельной физической смарт-карты и средства чтения. Виртуальные смарт-карты создаются в TPM, где ключи, используемые для проверки подлинности, хранятся в оборудовании с криптографической безопасностью.
С помощью устройств TPM, которые предоставляют те же криптографические возможности, что и физические смарт-карты, виртуальные смарт-карты выполняют три ключевых свойства, которые нужны для смарт-карт: неэкспортируемость, изолированная криптография и антикорминг.
Практическое применение
Виртуальные смарт-карты функционально похожи на физические смарт-карты и отображаются в Windows как смарт-карты, которые всегда вставлены. Виртуальные смарт-карты можно использовать для проверки подлинности внешних ресурсов, защиты данных с помощью безопасного шифрования и целостности с помощью надежной подписи. Они легко развертываются с помощью методов или приобретенного решения, и они могут стать полной заменой для других методов сильной проверки подлинности в корпоративном параметре любого масштаба.
Случаи использования проверки подлинности
Двухфакторная проверка подлинности\u2012based удаленный доступ
После того как у пользователя есть полнофункциональная виртуальная смарт-карта TPM с сертификатом регистрации, сертификат используется для получения строгого доступа к корпоративным ресурсам с проверкой подлинности. При подготовке соответствующего сертификата к виртуальной карте пользователю необходимо предоставить ПИН-код виртуальной смарт-карты, как если бы это была физическая смарт-карта, чтобы войти в домен.
На практике это так же просто, как ввести пароль для доступа к системе. Технически это гораздо более безопасно. Использование виртуальной смарт-карты для доступа к системе доказывает домену, что пользователь, запрашивающий проверку подлинности, владеет персональным компьютером, на котором была предусмотрена карта, и знает ПИН-код виртуальной смарт-карты. Поскольку этот запрос не мог исходить из системы, не заверенной доменом для доступа этого пользователя, и пользователь не мог инициировал запрос, не зная ПИН-кода, устанавливается сильная двух факторовая проверка подлинности.
Проверка подлинности клиента
Виртуальные смарт-карты также можно использовать для проверки подлинности клиента с помощью безопасного слоя socket (SSL) или аналогичной технологии. Как и доступ к домену с виртуальной смарт-картой, сертификат проверки подлинности можно получить для виртуальной смарт-карты, предоставляемой удаленной службе, как это запрашивается в процессе проверки подлинности клиента. Это соответствует принципам двух факторов проверки подлинности, так как сертификат доступен только с компьютера, на котором размещена виртуальная смарт-карта, и пользователю необходимо ввести ПИН-код для начального доступа к карте.
Перенаправление виртуальных смарт-карт для удаленных подключений к настольным компьютерам
Концепция двух факторов проверки подлинности, связанной с виртуальными смарт-картами, зависит от близости пользователей к компьютерам, на которые они могут получать доступ к ресурсам домена. Поэтому, когда пользователь удаленно подключается к компьютеру, на который размещены виртуальные смарт-карты, виртуальные смарт-карты, расположенные на удаленном компьютере, нельзя использовать во время удаленного сеанса. Однако виртуальные смарт-карты, хранимые на подключаемом компьютере (который находится под физическим контролем пользователя) загружаются на удаленный компьютер, и их можно использовать так, как если бы они были установлены с помощью TPM удаленного компьютера. Это расширяет права пользователя на удаленный компьютер, сохраняя при этом принципы двух факторов проверки подлинности.
Windows Go и виртуальные смарт-карты
Виртуальные смарт-карты хорошо работают с Windows To Go, где пользователь может загрузиться в поддерживаемую версию Windows с совместимого съемного устройства хранения. Для пользователя может быть создана виртуальная смарт-карта, которая привязана к TPM на физическом компьютере, к которому подключено съемное устройство хранения. Когда пользователь загружает операционную систему с другого физического компьютера, виртуальная смарт-карта будет недоступна. Это можно использовать для сценариев, когда один физический компьютер является общим для многих пользователей. Каждому пользователю может быть предоставлено съемное хранилище для Windows To Go, в котором для пользователя предусмотрена виртуальная смарт-карта. Таким образом, пользователи могут получить доступ только к личной виртуальной смарт-карте.
Случаи использования конфиденциальности
Шифрование электронной почты S/MIME
Физические смарт-карты предназначены для удержания закрытых ключей, которые можно использовать для шифрования и расшифровки электронной почты. Эта функция также существует в виртуальных смарт-картах. Используя S/MIME с общедоступным ключом пользователя для шифрования электронной почты, отправитель электронной почты может быть уверен, что расшифровать электронную почту сможет только человек с соответствующим закрытым ключом. Эта гарантия является результатом неэкспортируемости закрытого ключа. Он никогда не существует в пределах досягаемости вредоносного программного обеспечения, и он остается защищенным TPM даже во время расшифровки.
BitLocker для объемов данных
Технология шифрования дисков sBitLocker использует шифрование с симметричным ключом для защиты контента жесткого диска пользователя. Это гарантирует, что если физическое владение жесткого диска будет нарушено, злоумышленник не сможет считыть данные с диска. Ключ, используемый для шифрования диска, может храниться в виртуальной смарт-карте, что требует знания ПИН-кода виртуальной смарт-карты для доступа к диску и владению компьютером, на котором размещена виртуальная смарт-карта TPM. Если диск получается без доступа к TPM, на котором размещена виртуальная смарт-карта, любая грубая силовая атака будет очень сложной.
BitLocker также можно использовать для шифрования портативных дисков, что включает хранение ключей в виртуальных смарт-картах. В этом сценарии (в отличие от использования BitLocker с физической смарт-картой) зашифрованный диск можно использовать только в том случае, если он подключен к хосту для виртуальной смарт-карты, используемой для шифрования диска, так как ключ BitLocker доступен только с этого компьютера. Однако этот метод может быть полезен для обеспечения безопасности резервных дисков и использования личных накопителей за пределами основного жесткого диска.
Пример использования целостности данных
Подписание данных
Чтобы проверить авторство данных, пользователь может подписать их с помощью закрытого ключа, хранимого на виртуальной смарт-карте. Цифровые подписи подтверждают целостность и происхождение данных. Если ключ хранится в доступной операционной системе, злоумышленник может получить к нему доступ и использовать его для изменения уже подписанных данных или для подмены удостоверения владельца ключа. Однако если этот ключ хранится в виртуальной смарт-карте, его можно использовать только для подписи данных на хост-компьютере. Его нельзя экспортировать в другие системы (намеренно или непреднамеренно, например при краже вредоносных программ). Это делает цифровые подписи гораздо более безопасными, чем другие методы для хранения ключей.
Новые и измененные функциональные возможности с Windows 8.1
Улучшения в Windows 8.1 позволили разработчикам создавать Microsoft Store для создания и управления виртуальными смарт-картами.
Протокол управления устройствами виртуальной смарт-карты DCOM Interfaces for Trusted Platform Module (TPM) предоставляет интерфейс удаленного протокола модели распределенных компонентов (DCOM), используемый для создания и уничтожения виртуальных смарт-карт. Виртуальная смарт-карта — это устройство, которое представляет интерфейс устройства, соответствующий спецификации PC/SC для устройств интерфейса, подключенных к ПК, на платформу хост-операционной системы (ОС). Этот протокол не предполагает ничего о реализации виртуальных устройств смарт-карт. В частности, хотя она предназначена в основном для управления виртуальными смарт-картами на основе TPMs, она также может использоваться для управления другими типами виртуальных смарт-карт.
Какой эффект дает это изменение?
Начиная с Windows 8.1, разработчики приложений могут создавать в своих приложениях следующие возможности по обслуживанию виртуальных смарт-карт, чтобы снять некоторые административные нагрузки.
Создайте новую виртуальную смарт-карту или выберите виртуальную смарт-карту из списка доступных виртуальных смарт-карт в системе. Определите, с чем приложение должно работать.
Персонализация виртуальной смарт-карты.
Измените клавишу администрирования.
Разнообразить ключ администратора, который позволяет пользователю разблокировать ПИН-код в сценарии, заблокированном ПИН-кодом.
Сброс или разблокирование ПИН-кода.
Уничтожите виртуальную смарт-карту.
Что работает иначе?
Начиная с Windows 8.1, Microsoft Store разработчики приложений могут создавать приложения, которые могут побудить пользователя сбросить или разблокировать и изменить ПИН-код виртуальной смарт-карты. Это возложит на пользователя больше ответственности за обслуживание виртуальной смарт-карты, но это также может обеспечить более последовательное обслуживание пользователей и администрирование в вашей организации.
Дополнительные сведения о разработке Microsoft Store с этими возможностями см. в протоколе управления виртуальными смарт-картами для доверенных модулей платформы.
Дополнительные сведения об управлении этими возможностями в виртуальных смарт-картах см. в дополнительных сведениях о понимании и оценке виртуальных смарт-карт.
Требования к оборудованию
Чтобы использовать технологию виртуальных смарт-карт, TPM 1.2 — это минимум, необходимый для компьютеров с Windows 10 или Windows Server 2016.
Требования к программному обеспечению
Чтобы использовать технологию виртуальных смарт-карт, компьютеры должны запускать одну из следующих операционных систем:
Развертывание виртуальных смарт-карт
Применяется к: Windows 10, Windows Server 2016
В этом разделе для ИТ-специалиста рассматриваются факторы, которые следует учитывать при развертывании решения проверки подлинности виртуальных смарт-карт.
Традиционные устройства удостоверений, такие как физические смарт-карты, следуют предсказуемым жизненным циклом в любом развертывании, как показано на следующей схеме.
Физические устройства создаются специализированным производителем, а затем приобретаются корпорацией, которая в конечном счете будет ее развертывать. Устройство проходит этап персонализации, где за набором уникальных свойств. В смарт-картах эти свойства являются ключом администратора, личным идентификационным номером (ПИН-кодом), ключом разблокировки ПИН-кода (PUK) и его внешним видом. Для обеспечения устройства он загружается с помощью необходимых сертификатов, например сертификата регистрации. После предоставления устройства оно готово к использованию. Устройство необходимо просто поддерживать. Например, необходимо заменить карточки, когда они потеряны или украдены, и сбросить ПИН-карты, когда пользователи забывают их. Наконец, устройства будут выходить на пенсию, если они превышают предполагаемый срок службы или когда сотрудники покидают компанию.
В этом разделе содержатся сведения о следующих этапах жизненного цикла виртуальной смарт-карты:
Создание и персонализация виртуальных смарт-карт
Корпорация приобретает устройства для развертывания. Устройство проходит этап персонализации, где за набором уникальных свойств. В смарт-картах эти свойства являются ключом администратора, личным идентификационным номером (ПИН-кодом), ключом разблокировки ПИН-кода (PUK) и его внешним видом. Безопасность виртуальной смарт-карты TPM полностью обеспечивается в принимающей TPM.
Готовность модуля доверенных платформ
Мастер подготовки TPM, запущенный из консоли управления TPM, принимает пользователя через все действия для подготовки TPM к использованию.
При создании виртуальных смарт-карт рассмотрите следующие действия в TPM:
Включить и активировать: TPMs встроены во многие готовые компьютеры отрасли, но они часто не включены и активируются по умолчанию. В некоторых случаях TPM необходимо включить и активировать через BIOS. Дополнительные сведения см. в инициализации и настройке владения TPM.
Возьмите насебя ответственность. При предоставлении TPM вы установите пароль владельца для управления TPM в будущем и установите корневой ключ хранилища. Чтобы обеспечить защиту виртуальных смарт-карт, пользователь или администратор домена должен иметь возможность сбросить пароль владельца TPM. Для корпоративного использования виртуальных смарт-карт TPM мы рекомендуем администратору корпоративного домена ограничить доступ к парольу владельца TPM, храня его в Active Directory, а не в локальном реестре. Если в Windows Vista установлено право собственности на TPM, необходимо очистить и реинтициализировать TPM. Дополнительные сведения см. в обзоре технологий доверенных модулей платформы.
Управление. Вы можете управлять владением виртуальной смарт-картой, изменив пароль владельца, и вы можете управлять логикой защиты от блокировки, сбросив время блокировки. Дополнительные сведения см. в сведениях Управление блокировкой TPM.
TPM может работать в режиме уменьшенной функциональности. Это может произойти, например, если операционная система не может определить, доступен ли пользователю пароль владельца. В этих случаях TPM можно использовать для создания виртуальной смарт-карты, но настоятельно рекомендуется привести TPM в полностью готовое состояние, чтобы любые непредвиденные обстоятельства не оставят пользователя заблокированным с помощью компьютера.
Эти средства управления развертыванием смарт-карт, которые требуют проверки состояния TPM перед попыткой создания виртуальной смарт-карты TPM, могут это сделать с помощью интерфейса TPM WMI.
В зависимости от настройки компьютера, предназначенного для установки виртуальных смарт-карт TPM, перед развертыванием виртуальных смарт-карт может потребоваться предоставление TPM. Дополнительные сведения об обеспечении см. в пункте Использование виртуальных смарт-карт.
Дополнительные сведения об управлении TPM с помощью встроенных средств см. в группе Политики групп доверенных модулей платформы Параметры.
Создание
Виртуальная смарт-карта TPM имитирует физическую смарт-карту, и она использует TPM для предоставления тех же функций, что и физическое оборудование смарт-карт. Виртуальная смарт-карта отображается в операционной системе в качестве физической смарт-карты, которая всегда вставлена. Поддерживаемые версии операционной Windows представляют виртуальный считыватель смарт-карт и виртуальную смарт-карту приложениям с тем же интерфейсом, что и физические смарт-карты, но сообщения с виртуальной смарт-карты и из нее переводятся в команды TPM. Этот процесс обеспечивает целостность виртуальной смарт-карты с помощью трех свойств безопасности смарт-карт:
Неэкспортируемость. Поскольку вся частная информация на виртуальной смарт-картешифруется с помощью TPM на хост-компьютере, ее нельзя использовать на другом компьютере с другим TPM. Кроме того, TPMs предназначены для подстройки и неэкспортивного, поэтому вредоносный пользователь не может реверсировать идентичный TPM или установить один и тот же TPM на другом компьютере. Дополнительные сведения см. в дополнительных сведениях: Оценка безопасности виртуальных смарт-карт.
Изолированнаякриптография. TPMs предоставляют те же свойства изолированной криптографии, что и физические смарт-карты, и это используется виртуальными смарт-картами. Незашифрованные копии частных ключей загружаются только в TPM и никогда не загружаются в память, доступную операционной системе. Все криптографические операции с этими закрытыми ключами происходят внутри TPM.
Anti-hammering. Если пользователь вводит ПИН-код неправильно, виртуальная смарт-карта отвечает с помощью логики борьбы с молотком TPM, которая отклоняет дальнейшие попытки в течение определенного периода времени вместо блокировки карты. Это также называется блокировкой. Дополнительные сведения см. в см. в «Заблокированной виртуальной смарт-карте» и «Оценка безопасности виртуальных смарт-карт».
Существует несколько вариантов создания виртуальных смарт-карт в зависимости от размера развертывания и бюджета организации. Самый дешевый вариант — Tpmvscmgr.exe для создания карт на компьютерах пользователей. Кроме того, можно приобрести решение по управлению виртуальными смарт-картами, чтобы более легко выполнить создание виртуальных смарт-карт в более широком масштабе и помочь на дальнейших этапах развертывания. Виртуальные смарт-карты можно создавать на компьютерах, которые должны быть созданы для сотрудника или на тех, которые уже находятся в распоряжении сотрудника. В любом из подходов должен быть определенный центральный контроль за персонализацией и подготовкаю. Если компьютер предназначен для использования несколькими сотрудниками, на компьютере можно создать несколько виртуальных смарт-карт.
Сведения о средстве командной строки виртуальной смарт-карты TPM см. в tpmvscmgr.
Персонализация
Во время персонализации виртуальных смарт-карт задают значения для ключа администратора, ПИН-кода и PUK. Как и в физической карте, знание ключа администратора важно для сброса ПИН-кода или удаления карты в будущем. (Если установлен PUK, ключ администратора больше не может использоваться для сброса ПИН-кода.)
Так как ключ администратора имеет решающее значение для безопасности карты, важно рассмотреть среду развертывания и принять решение о правильной стратегии настройки ключа администратора. Параметры для этих стратегий включают:
Единообразные: клавиши администратора для всех виртуальных смарт-карт, развернутых в организации, одинаковы. Несмотря на то, что это упрощает инфраструктуру обслуживания (необходимо хранить только один ключ), она является крайне небезопасной. Эта стратегия может быть достаточной для очень маленьких организаций, но если ключ администратора взломана, все виртуальные смарт-карты, которые используют этот ключ, должны быть переизданы.
Случайные, не хранимые: клавиши администратора назначены случайным образом для всех виртуальных смарт-карт, и они не записываются. Это допустимый вариант, если администраторам развертывания не требуется возможность сброса ПИН-данных, а вместо этого предпочитают удалять и переоценить виртуальные смарт-карты. Это также может быть жизнеспособной стратегией, если администратор предпочитает устанавливать значения PUK для виртуальных смарт-карт, а затем использовать это значение для сброса ПИН-записей, если это необходимо.
Случайный, сохраненный. Клавиши администратора назначены случайным образом и хранятся в центре расположения. Безопасность каждой карты не зависит от других. Это безопасно в большом масштабе, если база данных ключей администратора не будет скомпрометирована.
Детерминистичные: клавиши администратора являются результатом некоторых функций или известных сведений. Например, код пользователя можно использовать для случайного создания данных, которые можно дополнительно обрабатывать с помощью симметричного алгоритма шифрования с помощью секрета. Этот ключ администратора может быть аналогичным образом регенерирован при необходимости, и его не нужно хранить. Безопасность этого метода зависит от безопасности используемого секрета.
Хотя методологии PUK и ключевых администраторов предоставляют функции разблокировки и сброса, они делают это по-разному. PUK — это ПИН-код, который просто вошел на компьютер, чтобы включить сброс ПИН-кода пользователя.
Ключевая методология администратора принимает подход к реагированию на вызовы. Карта предоставляет набор случайных данных после того, как пользователи проверяют свою личность администратору развертывания. Затем администратор шифрует данные с помощью ключа администратора и возвращает зашифрованные данные пользователю. Если зашифрованные данные совпадают с данными, которые были произведены картой во время проверки, карта позволит сбросить ПИН-код. Так как ключ администратора никогда не доступен никому, кроме администратора развертывания, он не может быть перехвачен или записан любой другой стороной (включая сотрудников). Это обеспечивает значительные преимущества безопасности, помимо использования PUK, что является важным фактором в процессе персонализации.
Виртуальные смарт-карты TPM можно персонализировать на индивидуальной основе, когда они создаются с помощью средства командной строки Tpmvscmgr. Или организации могут приобрести решение управления, которое может включить персонализацию в автоматизированную рутину. Дополнительным преимуществом такого решения является автоматическое создание ключей администратора. Tpmvscmgr.exe позволяет пользователям создавать собственные ключи администратора, что может отрицательно сказаться на безопасности виртуальных смарт-карт.
Предоставление виртуальных смарт-карт
Подготовка — это процесс загрузки определенных учетных данных на виртуальную смарт-карту TPM. Эти учетные данные состоят из сертификатов, созданных для того, чтобы предоставить пользователям доступ к определенной службе, например входу домена. На каждой виртуальной смарт-карте разрешено не более 30 сертификатов. Как и в отношении физических смарт-карт, необходимо принять несколько решений в отношении стратегии подготовки, основанной на среде развертывания и необходимом уровне безопасности.
Высокий уровень обеспечения безопасности подготовки требует абсолютной уверенности в удостоверении лица, получаювшего сертификат. Таким образом, одним из методов подготовки с высокой гарантией является использование ранее заранее прочных учетных данных, например физической смарт-карты, для проверки удостоверений во время подготовки. Еще одним вариантом является личные проверки на станциях регистрации, так как человек может легко и надежно доказать свою личность с паспортом или водительскими удостоверениями, хотя это может стать невыгодаемым в более широком масштабе. Для достижения аналогичного уровня уверенности крупная организация может реализовать стратегию «регистрация от имени», в которой сотрудники регистрются с учетными данными вышестоящим руководителем, который может лично проверить свои удостоверения. Это создает цепочку доверия, которая гарантирует, что люди будут проверяться лично в отношении предлагаемых удостоверений, но без административной нагрузки на подготовка всех виртуальных смарт-карт из одной центральной станции регистрации.
Для развертывания, в которых высокий уровень безопасности не является основной проблемой, можно использовать решения самообслуживки. Они могут включать использование интернет-портала для получения учетных данных или просто регистрация сертификатов с помощью диспетчера сертификатов в зависимости от развертывания. Считайте, что проверка подлинности виртуальных смарт-карт является такой же сильной, как и метод предварительной проверки. Например, если для запроса сертификата проверки подлинности используются слабые учетные данные домена (например, только пароль), проверка подлинности виртуальной смарт-карты будет эквивалентна использованию только пароля, а преимущества двух факторов проверки подлинности будут потеряны.
Сведения об использовании диспетчера сертификатов для настройки виртуальных смарт-карт см. в Начало работы с виртуальными смарт-картами.
Решения с высокой гарантией и самообслуживанием подходят к подготовкам виртуальных смарт-карт, предполагая, что компьютер пользователя был выдан до развертывания виртуальной смарт-карты, но это не всегда так. Если виртуальные смарт-карты развертываются с новыми компьютерами, их можно создавать, персонализировать и создавать на компьютере до контакта пользователя с этим компьютером.
В этой ситуации подготовка становится относительно простой, но необходимо проводить проверки удостоверений, чтобы убедиться, что получателем компьютера является лицо, которое ожидалось во время подготовка. Это можно сделать, требуя от сотрудника установить начальный ПИН-код под наблюдением администратора или руководителя развертывания.
При подготовках компьютеров необходимо также учитывать долговечность учетных данных, поставляющихся для виртуальных смарт-карт. Этот выбор должен основываться на пороге риска организации. Несмотря на то, что учетные данные с более длительным сроком службы являются более удобными, они также с большей вероятностью будут скомпрометироваться в течение срока службы. Чтобы определить срок службы учетных данных, стратегия развертывания должна учитывать уязвимость их криптографии (сколько времени может занять взлом учетных данных) и вероятность атаки.
Если виртуальная смарт-карта скомпрометирована, администраторы должны иметь возможность отоискить связанные учетные данные, как это было бы с потерянным или украденным ноутбуком. Для этого требуется запись о том, какие учетные данные соответствуют пользователю и компьютеру, что является функциональными возможностями, которые не существуют в Windows. Администраторам развертывания может потребоваться рассмотреть решения надстройки для поддержания такой записи.
Виртуальные смарт-карты на потребительских устройствах, используемых для корпоративного доступа
Существуют методы, позволяющие сотрудникам обеспечить виртуальные смарт-карты и записаться на сертификаты, которые можно использовать для проверки подлинности пользователей. Это полезно, когда сотрудники пытаются получить доступ к корпоративным ресурсам с устройств, не присоединенных к корпоративному домену. Эти устройства можно дополнительно определить, чтобы пользователи не могли загружать и запускать приложения из источников, не Windows Store (например, устройств, работающих Windows RT).
API, которые были Windows Server 2012 R2 и Windows 8.1, можно использовать для создания приложений Windows Store, которые можно использовать для управления полным жизненным циклом виртуальных смарт-карт. Дополнительные сведения см. в публикации Create and Delete virtual smart cards programmatically.
TPM ownerAuth в реестре
Если устройство или компьютер не присоединяются к домену, владелец TPMAuth хранится в реестре в соответствии с HKEY_LOCAL_MACHINE. Это предоставляет некоторые угрозы. Большинство векторов угроз защищены BitLocker, но угрозы, которые не защищены, включают:
Вредоносный пользователь обладает устройством, которое имеет активный локальный сеанс регистрации перед блокировкой устройства. Злоумышленник может предпринять попытку грубой атаки на ПИН-код виртуальной смарт-карты, а затем получить доступ к корпоративным секретам.
Вредоносный пользователь обладает устройством, которое имеет сеанс активной виртуальной частной сети (VPN). Затем устройство скомпрометировано.
Предлагаемое смягчение для предыдущих сценариев — использование политик Exchange ActiveSync (EAS) для сокращения времени автоматической блокировки с пяти минут до 30 секунд бездействия. Политики автоматической блокировки можно зафиксировать при подстройке виртуальных смарт-карт. Если организации нужно больше безопасности, они также могут настроить параметр, чтобы удалить ownerAuth с локального устройства.
Сведения о конфигурации ключа реестра TPM ownerAuth см. в параметре Group Policy Configure the level of TPM owner authorization information available to the operating system.
Сведения о политиках EAS см. в Exchange ActiveSync Обзор двигателя политики.
Управляемые и неуправляемые карты
В следующей таблице описываются важные различия между управляемыми и неугодными виртуальными смарт-картами, которые существуют на потребительских устройствах:
| Действие | Управляемые и неуправляемые карты | Неугодные карты |
|---|---|---|
| Сброс ПИН-кода, когда пользователь забывает ПИН-код | Да | Нет, карточка должна быть удалена и создана снова. |
| Разрешить пользователю изменять ПИН-код | Да | Нет, карточка должна быть удалена и создана снова. |
Управляемые карты
Управляемые виртуальные смарт-карты могут быть обслужиты ИТ-администратором или другим лицом в указанной роли. Это позволяет ИТ-администратору иметь влияние или полный контроль над определенными аспектами виртуальной смарт-карты от ее создания до удаления. Для управления этими картами часто требуется средство управления развертыванием виртуальных смарт-карт.
Создание управляемых карт
Пользователь может создать пустую виртуальную смарт-карту с помощью средства командной строки Tpmvscmgr, который является встроенным средством, который управляется с административными учетными данными с помощью повышенной командной строки. Эта виртуальная смарт-карта должна быть создана с известными параметрами (например, значениями по умолчанию), и ее следует оставить неформатной (в частности, параметр /generate не должен быть указан).
Следующая команда создает виртуальную смарт-карту, которую можно управлять с помощью средства управления смарт-картами, запущенного с другого компьютера (как поясняется в следующем разделе):
tpmvscmgr.exe create /name «VirtualSmartCardForCorpAccess» /AdminKey DEFAULT /PIN PROMPT
Кроме того, вместо использования ключа администратора по умолчанию пользователь может ввести клавишу администратора в командной строке:
tpmvscmgr.exe create /name «VirtualSmartCardForCorpAccess» /AdminKey PROMPT /PIN PROMPT
В любом случае система управления карточками должна знать начальный ключ администратора, который используется для того, чтобы она может взять на себя ответственность за виртуальную смарт-карту и изменить ключ администратора на значение, доступное только с помощью средства управления картами, который управляется ИТ-администратором. Например, когда используется значение по умолчанию, клавиша администратора заме-
Сведения об использовании этого средства командной строки см. в tpmvscmgr.
Управление управляемыми картами
После создания виртуальной смарт-карты пользователю необходимо открыть удаленное настольное подключение к станции регистрации, например на компьютере, подключенном к домену. Виртуальные смарт-карты, связанные с клиентом, доступны для использования в удаленном рабочем доступе. Пользователь может открыть средство управления картой внутри удаленного сеанса, которое может взять на себя ответственность за карту и ее предоставление для использования пользователем. Это требует, чтобы пользователю было разрешено установить удаленное подключение к рабочему столу с компьютера, не подключенного к домену, на компьютер, подключенный к домену. Для этого может потребоваться определенная конфигурация сети, например с помощью политик IPsec.
Когда пользователям необходимо сбросить или изменить ПИН-код, для выполнения этих операций необходимо использовать удаленное подключение к рабочему столу. Они могут использовать встроенные средства для разблокировки ПИН-кода и изменения ПИН-кода или средства управления смарт-картами.
Управление сертификатами для управляемых карт
Как и физические смарт-карты, виртуальные смарт-карты требуют регистрации сертификата.
Выдача сертификата
Пользователи могут записаться на сертификаты из удаленного сеанса рабочего стола, созданного для предоставления карты. Этот процесс также может управляться средством управления смарт-картами, который пользователь выполняет через удаленное подключение к рабочему столу. Эта модель работает для развертывания, которое требует от пользователя подписать запрос на регистрацию с помощью физической смарт-карты. Драйвер физической смарт-карты не требуется устанавливать на клиентский компьютер, если она установлена на удаленном компьютере. Это стало возможным благодаря функции перенаправления смарт-карт, которая была представлена в Windows Server 2003, которая гарантирует, что смарт-карты, подключенные к клиентского компьютера, будут доступны для использования во время удаленного сеанса.
Кроме того, не устанавливая удаленное подключение к рабочему столу, пользователи могут записаться на сертификаты из консоли управления сертификатами (certmgr.msc) на клиентский компьютер. Пользователи также могут создавать запрос и отправлять его на сервер из настраиваемой заявки на регистрацию сертификата (например, органа регистрации), который имеет контролируемый доступ к органу сертификации (CA). Для этого требуется определенная конфигурация предприятия и развертывание для политик регистрации сертификатов (CEP) и Службы регистрации сертификатов (CES).
Управление жизненным циклом сертификата
Вы можете обновить сертификаты с помощью удаленных подключений к рабочему столу, политик регистрации сертификатов или служб регистрации сертификатов. Требования к обновлению могут быть неозначаемы в зависимости от первоначальных требований к выдаче в зависимости от политики обновления.
Отзыв сертификата требует тщательного планирования. Когда информация об отзыве сертификата будет надежно доступна, конкретный сертификат может быть легко отозван. Если определить информацию об отзыве сертификата непросто, все сертификаты, выдавлимые пользователю в соответствии с политикой, используемой для выдачи сертификата, могут потребоваться отозваны. Например, это может произойти, если сотрудник сообщает о потерянное или скомпрометированное устройство, а сведения, которые связывает устройство с сертификатом, недоступны.
Неугодные карты
Неуправленные виртуальные смарт-карты не могут быть обслужимы ИТ-администратором. Неуправляемые карты могут быть подходящими, если органзацией не является сложный инструмент управления развертыванием смарт-карт, а использование удаленных подключений к рабочему столу для управления картой нежелательно. Так как неустановленные карты не могут быть доступны ИТ-администратору, когда пользователю требуется помощь с виртуальной смарт-картой (например, сброс или разблокирование ПИН-кода), единственным доступным для пользователя вариантом является удаление карты и ее создание снова. Это приводит к потере учетных данных пользователя, и он должен повторно зарегистрироваться.
Создание неугодных карт
Пользователь может создать виртуальную смарт-карту с помощью средства командной строки Tpmvscmgr, который работает с административными учетными данными с помощью повышенной командной строки. Следующая команда создает неугодную карту, которую можно использовать для регистрации сертификатов:
tpmvscmgr.exe create /name «VirtualSmartCardForCorpAccess» /AdminKey RANDOM /PIN PROMPT /generate
Эта команда создает карту с рандомизированным ключом администратора. После создания карты ключ автоматически отбрасывается. Если пользователи забывают или хотят изменить ПИН-код, необходимо удалить карту и создать ее снова. Чтобы удалить карту, пользователь может выполнить следующую команду:
tpmvscmgr.exe destroy /instance
где удостоверение экземпляра — это значение, которое печатается на экране при создании карточки пользователем. В частности, для первой созданной карты удостоверение экземпляра root\SMARTCARDREADER\0000.
Управление сертификатами для неуправленных карт
В зависимости от требований безопасности, уникальных для организации, пользователи могут первоначально зарегистрироваться на сертификаты из консоли управления сертификатами (certmgr.msc) или из пользовательских приложений для регистрации сертификатов. Последний метод может создать запрос и отправить его на сервер, который имеет доступ к органу сертификации. Для этого требуются определенные организационные конфигурации и развертывания для политик регистрации сертификатов и служб регистрации сертификатов. Windows имеет встроенные средства, в частности Certreq.exe и Certutil.exe, которые могут использоваться скриптами для выполнения регистрации из командной строки.
Запрос сертификата, предоставив только учетные данные домена
Самый простой способ запроса сертификатов для пользователей — предоставить учетные данные домена с помощью скрипта, который может выполнять регистрацию с помощью встроенных компонентов, которые у вас есть для запросов сертификатов.
Кроме того, приложение (например, бизнес-приложение) может быть установлено на компьютере для выполнения регистрации путем создания запроса на клиента. Запрос подан на сервер HTTP, который может переадверять его в орган регистрации.
Другим вариантом является доступ пользователя к порталу регистрации, который доступен через Internet Explorer. Веб-сайт может использовать API сценариев для выполнения регистрации сертификата.
Подписание запроса с помощью другого сертификата
Пользователь может импортировать сертификат в магазин MY (который является хранилищем сертификатов пользователя). И ваша организация может представить пользователю скрипт, который можно использовать для подписывания запроса на краткосрочный сертификат и запроса виртуальной смарт-карты.
Для развертывания, которое требует от пользователей использования физической смарт-карты для подписывания запроса сертификата, можно использовать процедуру:
Пользователи инициируют запрос на компьютере, соединяемом с доменом.
Пользователи заполняют запрос с помощью физической смарт-карты для подписи запроса.
Пользователи загружают запрос на виртуальную смарт-карту на клиентский компьютер.
Использование разового пароля для регистрации
Еще один способ убедиться, что перед выдачей сертификатов виртуальных смарт-карт пользователи будут проходить проверку подлинности, необходимо отправить пользователю один раз пароль с помощью SMS, электронной почты или телефона. Затем пользователь в течение регистрации сертификата в приложении или сценарии на рабочем столе встраит встроенные средства командной строки.
Управление жизненным циклом сертификата
Обновление сертификата можно сделать из тех же средств, которые используются для начальной регистрации сертификата. Политики регистрации сертификатов и службы регистрации сертификатов также могут использоваться для автоматического обновления.
Отзыв сертификата требует тщательного планирования. Когда информация об отзыве сертификата будет надежно доступна, конкретный сертификат может быть легко отозван. Если определить информацию об отзыве сертификата непросто, все сертификаты, выдавлимые пользователю в соответствии с политикой, используемой для выдачи сертификата, могут потребоваться отозваны. Например, это может произойти, если сотрудник сообщает о потерянное или скомпрометированное устройство, а сведения, которые связывает устройство с сертификатом, недоступны.
Обслуживание виртуальных смарт-карт
Обслуживание — это значительная часть жизненного цикла виртуальной смарт-карты и одно из наиболее важных соображений с точки зрения управления. После создания, персонализированной и предварительной создания виртуальных смарт-карт их можно использовать для удобной двух факторов проверки подлинности. Администраторы развертывания должны знать несколько распространенных административных сценариев, к которым можно подойти с помощью приобретенного решения виртуальной смарт-карты или на индивидуальной основе с использованием методов на дому.
Обновление. Обновление учетных данных виртуальных смарт-карт является регулярной задачей, необходимой для сохранения безопасности развертывания виртуальной смарт-карты. Обновление — результат подписанного запроса от пользователя, указывавшего нужную для новых учетных данных пару ключей. В зависимости от выбора пользователя или спецификации развертывания пользователь может запрашивать учетные данные с той же парой ключей, что и ранее, или выбрать новую пару ключей.
При обновлении с помощью ранее используемой клавиши не требуется никаких дополнительных действий, так как во время начальной подготовка был выдан сильный сертификат с этим ключом. Однако, когда пользователь запрашивает новую пару ключей, необходимо предпринять те же действия, которые были использованы во время подготовка, чтобы обеспечить прочность учетных данных. Обновление с помощью новых ключей должно периодически происходить для противодействия сложным долгосрочным попыткам вредоносных пользователей проникнуть в систему. При присвоении новых ключей необходимо убедиться, что новые ключи используются ожидаемыми лицами на тех же виртуальных смарт-картах.
Сброс ПИН-служб: сброс ПИН-карт виртуальной смарт-карты также является частой необходимостью, так как сотрудники забывают свои ПИН-карты. Это можно сделать двумя способами, в зависимости от решений, сделанных ранее в развертывании: использовать PUK (если установлен PUK) или использовать подход к реагированию на вызовы с ключом администрирования. Перед сбросом ПИН-кода удостоверение пользователя должно быть проверено с помощью некоторых средств, кроме карточки, — скорее всего, метод проверки, используемый во время первоначальной предварительной настройки (например, личных проверок). Это необходимо в сценариях ошибки пользователя, когда пользователи забывают свои ПИН-данные. Однако никогда не следует сбрасывать ПИН-код, если он был скомпрометирован, так как уровень уязвимости после его разоблачеть сложно. Вся карта должна быть переиздана.
Сбросблокировки. Частым предшественником сброса ПИН-кода является необходимость сброса времени блокировки TPM, так как логика борьбы с блокировкой TPM будет задействована с несколькими сбоями ввода ПИН-кода для виртуальной смарт-карты. В настоящее время это конкретное устройство.
Выбываякарточка. Конечным аспектом управления виртуальными смарт-картами является снятие карт, когда они больше не нужны. При выходе сотрудника из компании желательно ото возможности отоиметь доступ к домену. Отмена учетных данных входа из органа сертификации (CA) выполняет эту задачу.
Карточка должна быть переиздана, если тот же компьютер используется другими сотрудниками без переостановки операционной системы. Повторное использование прежней карты может позволить бывшему сотруднику изменить ПИН-код после выхода из организации, а затем угнать сертификаты, принадлежащие новому пользователю, для получения несанкционированного доступа к домену. Однако, если сотрудник принимает компьютер с поддержкой виртуальной смарт-карты, необходимо отоискить сертификаты, хранимые на виртуальной смарт-карте.
Готовность к чрезвычайным ситуациям
Переиздание карт
Наиболее распространенным сценарием в организации является переосмысление виртуальных смарт-карт, которые могут быть необходимы, если операционная система переустановлена или если виртуальная смарт-карта каким-либо образом скомпрометирована. Переиздание — это, по сути, воссоздание карты, которая включает создание нового пин-кода и ключа администратора и подготовка нового набора связанных сертификатов. Это немедленная необходимость, когда карта скомпрометирована, например, если компьютер, защищенный виртуальной смарт-картой, подвергается воздействию злоумышленника, который может иметь доступ к правильному ПИН-коду. Переостановка является наиболее безопасным ответом на неизвестное воздействие конфиденциальности карты. Кроме того, после переостановки операционной системы требуется переостановка, так как профиль устройства виртуальной смарт-карты удаляется со всеми другими пользовательскими данными при повторном переустановлении операционной системы.
Заблокированная виртуальная смарт-карта
Поведение виртуальной смарт-карты TPM отличается от поведения виртуальной смарт-карты. Физическая смарт-карта блокируется после того, как пользователь вводит неправильный ПИН-код несколько раз. Виртуальная смарт-карта TPM вводит временную задержку после того, как пользователь несколько раз вводит неправильный ПИН-код. Если TPM находится в режиме timed-delay, когда пользователь пытается использовать виртуальную смарт-карту TPM, пользователь получает уведомление о том, что карта заблокирована. Кроме того, если включить интегрированную функцию разблокировки, пользователь может увидеть пользовательский интерфейс, чтобы разблокировать виртуальную смарт-карту и изменить ПИН-код. Разблокирование виртуальной смарт-карты не сбрасывает блокировку TPM. Пользователю необходимо выполнить дополнительный шаг, чтобы сбросить блокировку TPM или дождаться истечения срока задержки.
Дополнительные сведения о настройке политики «Разрешить интегрированную разблокировка» см. в статью Разрешить отображение интегрированного экрана разблокировки во время логотипа.