Bereitstellen virtueller Smartcards

Gilt für: Windows 10, Windows Server 2016

In diesem Thema für IT-Experten werden die Faktoren erläutert, die beim Bereitstellen einer virtuellen Smartcard-Authentifizierungslösung zu berücksichtigen sind.

Herkömmliche Identitätsgeräte, z. B. physische Smartcards, folgen in jeder Bereitstellung einem vorhersagbaren Lebenszyklus, wie im folgenden Diagramm dargestellt.

Diagramm des Lebenszyklus physischer Smartcards.

Physische Geräte werden von einem dedizierten Hersteller erstellt und dann vom Unternehmen gekauft, das sie letztendlich bereitstellen wird. Das Gerät durchläuft die Personalisierungsphase, in der seine eindeutigen Eigenschaften festgelegt werden. Bei Smartcards sind diese Eigenschaften der Administratorschlüssel, die persönliche Identifikationsnummer (PIN), der PIN Unlock Key (PUK) und seine physische Darstellung. Zum Bereitstellen des Geräts wird es mit den erforderlichen Zertifikaten geladen, z. B. einem Anmeldezertifikat. Nachdem Sie das Gerät bereitgestellt haben, ist es einsatzbereit. Das Gerät muss einfach gewartet werden. Beispielsweise müssen Sie Karten ersetzen, wenn sie verloren gehen oder gestohlen werden, und PINs zurücksetzen, wenn Benutzer sie vergessen. Schließlich werden Sie Geräte außer Betrieb nehmen, wenn sie ihre beabsichtigte Lebensdauer überschreiten oder wenn Mitarbeiter das Unternehmen verlassen.

Dieses Thema enthält Informationen zu den folgenden Phasen in einem Virtuellen Smartcard-Lebenszyklus:

Erstellen und Personalisieren virtueller Smartcards

Ein Unternehmen kauft die geräte, die dann bereitgestellt werden sollen. Das Gerät durchläuft die Personalisierungsphase, in der seine eindeutigen Eigenschaften festgelegt werden. Bei Smartcards sind diese Eigenschaften der Administratorschlüssel, die persönliche Identifikationsnummer (PIN), der PIN Unlock Key (PUK) und seine physische Darstellung. Die Sicherheit, die für eine virtuelle TPM-Smartcard bereitgestellt wird, wird vollständig im Host-TPM bereitgestellt.

Bereitschaft des Trusted Platform-Moduls

Der TPM-Bereitstellungs-Assistent, der über die TPM-Verwaltungskonsole gestartet wird, führt den Benutzer durch alle Schritte, um das TPM für die Verwendung vorzubereiten.

Berücksichtigen Sie beim Erstellen virtueller Smartcards die folgenden Aktionen im TPM:

  • Aktivieren und Aktivieren: TPMs sind in vielen industrietauglichen Computern integriert, aber sie sind häufig nicht standardmäßig aktiviert und aktiviert. In einigen Fällen muss das TPM über das BIOS aktiviert und aktiviert werden. Weitere Informationen finden Sie unter Initialisieren und Konfigurieren des Besitzes des TPM.

  • Besitz übernehmen: Wenn Sie das TPM bereitstellen, legen Sie ein Besitzerkennwort für die zukünftige Verwaltung des TPM fest und richten den Speicherstammschlüssel ein. Zum Bereitstellen von Anti-Hammering-Schutz für virtuelle Smartcards muss der Benutzer oder ein Domänenadministrator in der Lage sein, das TPM-Besitzerkennwort zurückzusetzen. Für die unternehmensweite Verwendung virtueller TPM-Smartcards wird empfohlen, dass der Domänenadministrator des Unternehmens den Zugriff auf das TPM-Besitzerkennwort beschränkt, indem er es in Active Directory und nicht in der lokalen Registrierung speichert. Wenn der TPM-Besitz in Windows Vista festgelegt ist, muss das TPM gelöscht und erneut initialisiert werden. Weitere Informationen finden Sie unter Trusted Platform Module Technology Overview (Übersicht über die Technologie von Trusted Platform Module).

  • Verwalten: Sie können den Besitz einer virtuellen Smartcard verwalten, indem Sie das Besitzerkennwort ändern, und Sie können die Anti-Hammering-Logik verwalten, indem Sie die Sperrzeit zurücksetzen. Weitere Informationen finden Sie unter Verwalten der TPM-Sperre.

Ein TPM kann im Modus mit eingeschränkter Funktionalität ausgeführt werden. Dies kann z. B. der Fall sein, wenn das Betriebssystem nicht ermitteln kann, ob das Besitzerkennwort für den Benutzer verfügbar ist. In diesen Fällen kann das TPM zum Erstellen einer virtuellen Smartcard verwendet werden. Es wird jedoch dringend empfohlen, das TPM in einen vollständig bereiten Zustand zu versetzen, damit der Benutzer bei unerwarteten Umständen nicht daran gehindert wird, den Computer zu verwenden.

Diese Smartcard-Bereitstellungsverwaltungstools, die eine Statusüberprüfung eines TPM erfordern, bevor sie versuchen, eine virtuelle TPM-Smartcard zu erstellen, können dies mithilfe der TPM-WMI-Schnittstelle tun.

Abhängig von der Einrichtung des Computers, der für die Installation virtueller TPM-Smartcards bestimmt ist, kann es erforderlich sein, das TPM bereitzustellen, bevor die Bereitstellung der virtuellen Smartcards fortgesetzt wird. Weitere Informationen zur Bereitstellung finden Sie unter Verwenden virtueller Smartcards.

Weitere Informationen zum Verwalten von TPMs mithilfe integrierter Tools finden Sie unter Trusted Platform Module Services Gruppenrichtlinie Settings.

Kreation

Eine virtuelle TPM-Smartcard simuliert eine physische Smartcard und verwendet das TPM, um die gleiche Funktionalität wie physische Smartcardhardware bereitzustellen. Eine virtuelle Smartcard wird im Betriebssystem als physische Smartcard angezeigt, die immer eingefügt wird. Unterstützte Versionen des Windows-Betriebssystems stellen einen virtuellen Smartcardleser und eine virtuelle Smartcard für Anwendungen mit der gleichen Schnittstelle wie physische Smartcards bereit, aber Nachrichten an und von der virtuellen Smartcard werden in TPM-Befehle übersetzt. Dieser Prozess stellt die Integrität der virtuellen Smartcard durch die drei Eigenschaften der Smartcardsicherheit sicher:

  • Nicht-Exportierbarkeit: Da alle privaten Informationen auf der virtuellen Smartcard mithilfe des TPM auf dem Hostcomputer verschlüsselt werden, können sie nicht auf einem anderen Computer mit einem anderen TPM verwendet werden. Darüber hinaus sind TPMs so konzipiert, dass sie manipulationssicher und nicht exportierbar sind, sodass ein böswilliger Benutzer kein identisches TPM zurückentwickeln oder dasselbe TPM auf einem anderen Computer installieren kann. Weitere Informationen finden Sie unter Auswerten der Sicherheit virtueller Smartcards.

  • Isolierte Kryptografie: TPMs bieten die gleichen Eigenschaften der isolierten Kryptografie wie physische Smartcards, und dies wird von virtuellen Smartcards verwendet. Unverschlüsselte Kopien privater Schlüssel werden nur innerhalb des TPM und niemals in den Arbeitsspeicher geladen, auf den das Betriebssystem zugreifen kann. Alle kryptografischen Vorgänge mit diesen privaten Schlüsseln erfolgen innerhalb des TPM.

  • Anti-Hammering: Wenn ein Benutzer eine PIN falsch eingibt, reagiert die virtuelle Smartcard mit der Anti-Hammering-Logik des TPM, die weitere Versuche für einen bestimmten Zeitraum ablehnt, anstatt die Karte zu blockieren. Dies wird auch als Sperrung bezeichnet. Weitere Informationen finden Sie unter Blockierte virtuelle Smartcard und Auswerten der Sicherheit virtueller Smartcards.

Abhängig von der Größe der Bereitstellung und dem Budget der Organisation gibt es mehrere Optionen zum Erstellen virtueller Smartcards. Die kostengünstigste Option ist die Verwendung von Tpmvscmgr.exe, um Karten einzeln auf den Computern der Benutzer zu erstellen. Alternativ kann eine virtuelle Smartcard-Verwaltungslösung erworben werden, um die Erstellung virtueller Smartcards in größerem Umfang zu erleichtern und in weiteren Bereitstellungsphasen zu unterstützen. Virtuelle Smartcards können auf Computern erstellt werden, die für einen Mitarbeiter bereitgestellt werden sollen, oder auf Computern, die sich bereits im Besitz eines Mitarbeiters befinden. Bei beiden Ansätzen sollte es eine gewisse zentrale Kontrolle über die Personalisierung und Bereitstellung geben. Wenn ein Computer für die Verwendung durch mehrere Mitarbeiter vorgesehen ist, können mehrere virtuelle Smartcards auf einem Computer erstellt werden.

Informationen zum Befehlszeilentool für virtuelle TPM-Smartcards finden Sie unter Tpmvscmgr.

Personalisierung

Während der Personalisierung virtueller Smartcards werden die Werte für Administratorschlüssel, PIN und PUK zugewiesen. Wie bei einer physischen Karte ist es wichtig, den Administratorschlüssel zu kennen, um die PIN zurückzusetzen oder die Karte in Zukunft zu löschen. (Wenn ein PUK festgelegt ist, kann der Administratorschlüssel nicht mehr zum Zurücksetzen der PIN verwendet werden.)

Da der Administratorschlüssel für die Sicherheit der Karte von entscheidender Bedeutung ist, ist es wichtig, die Bereitstellungsumgebung zu berücksichtigen und die richtige Strategie für die Einstellung des Administratorschlüssels festzulegen. Zu den Optionen für diese Strategien gehören:

  • Einheitlich: Administratorschlüssel für alle virtuellen Smartcards, die in der Organisation bereitgestellt werden, sind identisch. Obwohl dies die Wartungsinfrastruktur einfach macht (nur ein Schlüssel muss gespeichert werden), ist sie sehr unsicher. Diese Strategie kann für sehr kleine Organisationen ausreichend sein, aber wenn der Administratorschlüssel kompromittiert ist, müssen alle virtuellen Smartcards, die diesen Schlüssel verwenden, erneut ausgestellt werden.

  • Zufällig, nicht gespeichert: Administratorschlüssel werden allen virtuellen Smartcards nach dem Zufallsprinzip zugewiesen und nicht aufgezeichnet. Dies ist eine gültige Option, wenn die Bereitstellungsadministratoren keine Möglichkeit zum Zurücksetzen von PINs benötigen und stattdessen virtuelle Smartcards löschen und erneut ausstellen möchten. Dies könnte auch eine praktikable Strategie sein, wenn der Administrator es vorzieht, PUK-Werte für die virtuellen Smartcards festzulegen und diesen Wert dann bei Bedarf zum Zurücksetzen von PINs zu verwenden.

  • Zufällig, gespeichert: Administratorschlüssel werden nach dem Zufallsprinzip zugewiesen und an einem zentralen Ort gespeichert. Die Sicherheit jeder Karte ist unabhängig von den anderen. Dies ist in großem Umfang sicher, es sei denn, die Administratorschlüsseldatenbank ist kompromittiert.

  • Deterministisch: Administratorschlüssel sind das Ergebnis einiger Funktionen oder bekannter Informationen. Beispielsweise könnte die Benutzer-ID verwendet werden, um zufällig Daten zu generieren, die mithilfe eines symmetrischen Verschlüsselungsalgorithmus mithilfe eines Geheimnisses weiter verarbeitet werden können. Dieser Administratorschlüssel kann bei Bedarf auf ähnliche Weise neu generiert werden und muss nicht gespeichert werden. Die Sicherheit dieser Methode hängt von der Sicherheit des verwendeten Geheimnisses ab.

Obwohl das PUK und die Administratorschlüsselmethodik die Entsperrung und das Zurücksetzen von Funktionen ermöglichen, tun sie dies auf unterschiedliche Weise. Der PUK ist eine PIN, die einfach auf dem Computer eingegeben wird, um eine Benutzer-PIN-Zurücksetzung zu ermöglichen.

Die Administratorschlüsselmethodik verfolgt einen Challenge-Response-Ansatz. Die Karte stellt einen Satz zufälliger Daten bereit, nachdem Benutzer ihre Identität gegenüber dem Bereitstellungsadministrator überprüft haben. Der Administrator verschlüsselt dann die Daten mit dem Administratorschlüssel und gibt die verschlüsselten Daten an den Benutzer zurück. Wenn die verschlüsselten Daten mit denen übereinstimmen, die von der Karte während der Überprüfung erzeugt wurden, lässt die Karte die PIN-Zurücksetzung zu. Da niemand außer dem Bereitstellungsadministrator auf den Administratorschlüssel zugreifen kann, kann er nicht von anderen Parteien (einschließlich Mitarbeitern) abgefangen oder aufgezeichnet werden. Dies bietet erhebliche Sicherheitsvorteile, die über die Verwendung eines PUK hinausgehen. Dies ist ein wichtiger Aspekt während des Personalisierungsprozesses.

Virtuelle TPM-Smartcards können individuell personalisiert werden, wenn sie mit dem Tpmvscmgr-Befehlszeilentool erstellt werden. Oder Organisationen können eine Verwaltungslösung erwerben, die die Personalisierung in eine automatisierte Routine integrieren kann. Ein weiterer Vorteil einer solchen Lösung ist die automatisierte Erstellung von Administratorschlüsseln. mit Tpmvscmgr.exe können Benutzer eigene Administratorschlüssel erstellen, was die Sicherheit der virtuellen Smartcards beeinträchtigen kann.

Bereitstellen virtueller Smartcards

Bei der Bereitstellung werden bestimmte Anmeldeinformationen auf eine virtuelle TPM-Smartcard geladen. Diese Anmeldeinformationen bestehen aus Zertifikaten, die erstellt werden, um Benutzern Zugriff auf einen bestimmten Dienst zu gewähren, z. B. die Domänenanmeldung. Auf jeder virtuellen Smartcard sind maximal 30 Zertifikate zulässig. Wie bei physischen Smartcards müssen mehrere Entscheidungen hinsichtlich der Bereitstellungsstrategie getroffen werden, die auf der Umgebung der Bereitstellung und dem gewünschten Sicherheitsniveau basieren.

Eine sichere Bereitstellung mit hoher Sicherheit erfordert absolute Sicherheit in Bezug auf die Identität der Person, die das Zertifikat erhält. Daher verwendet eine Methode der hochsicheren Bereitstellung zuvor bereitgestellte starke Anmeldeinformationen, z. B. eine physische Smartcard, um die Identität während der Bereitstellung zu überprüfen. Persönliche Nachweise an Registrierungsstellen sind eine weitere Option, da eine Person ihre Identität einfach und sicher mit einem Reisepass oder Führerschein nachweisen kann, obwohl dies in größerem Umfang nicht möglich sein kann. Um ein ähnliches Maß an Sicherheit zu erreichen, kann eine große Organisation eine Strategie zum Registrieren im Auftrag von implementieren, bei der Mitarbeiter mit ihren Anmeldeinformationen von einem Vorgesetzten registriert werden, der ihre Identitäten persönlich überprüfen kann. Dadurch entsteht eine Vertrauenskette, die sicherstellt, dass Einzelpersonen persönlich anhand ihrer vorgeschlagenen Identitäten abgeglichen werden, jedoch ohne den administrativen Druck, alle virtuellen Smartcards von einer einzigen zentralen Registrierungsstation aus zu bereitstellen.

Für Bereitstellungen, bei denen ein hohes Maß an Sicherheit kein primäres Anliegen ist, können Sie Self-Service-Lösungen verwenden. Dazu kann je nach Bereitstellung die Verwendung eines Onlineportals zum Abrufen von Anmeldeinformationen oder einfach die Registrierung für Zertifikate mithilfe des Zertifikat-Managers gehören. Beachten Sie, dass die Authentifizierung virtueller Smartcards nur so stark ist wie die Bereitstellungsmethode. Wenn beispielsweise schwache Domänenanmeldeinformationen (z. B. ein Kennwort allein) zum Anfordern des Authentifizierungszertifikats verwendet werden, entspricht die virtuelle Smartcard-Authentifizierung nur der Verwendung des Kennworts, und die Vorteile der zweistufigen Authentifizierung gehen verloren.

Informationen zur Verwendung des Zertifikat-Managers zum Konfigurieren virtueller Smartcards finden Sie unter Erste Schritte mit virtuellen Smartcards: Leitfaden für exemplarische Vorgehensweisen.

Hochversicherte Lösungen und Self-Service-Lösungen gehen bei der Bereitstellung virtueller Smartcards davon aus, dass der Computer des Benutzers vor der Bereitstellung der virtuellen Smartcards ausgestellt wurde. Dies ist jedoch nicht immer der Fall. Wenn virtuelle Smartcards mit neuen Computern bereitgestellt werden, können sie auf dem Computer erstellt, personalisiert und bereitgestellt werden, bevor der Benutzer Kontakt mit diesem Computer hat.

In dieser Situation wird die Bereitstellung relativ einfach, aber Identitätsprüfungen müssen durchgeführt werden, um sicherzustellen, dass der Empfänger des Computers die Person ist, die während der Bereitstellung erwartet wurde. Dies kann erreicht werden, indem der Mitarbeiter die anfängliche PIN unter der Aufsicht des Bereitstellungsadministrators oder -managers festlegen muss.

Wenn Sie Ihre Computer bereitstellen, sollten Sie auch die Langlebigkeit der Anmeldeinformationen berücksichtigen, die für virtuelle Smartcards bereitgestellt werden. Diese Auswahl muss auf dem Risikoschwellenwert der Organisation basieren. Obwohl langlebige Anmeldeinformationen bequemer sind, sind sie auch wahrscheinlicher, dass sie während ihrer Lebensdauer kompromittiert werden. Um die geeignete Lebensdauer für Anmeldeinformationen zu bestimmen, muss die Bereitstellungsstrategie das Sicherheitsrisiko ihrer Kryptografie (wie lange es dauern könnte, die Anmeldeinformationen zu knacken) und die Wahrscheinlichkeit eines Angriffs berücksichtigen.

Wenn eine virtuelle Smartcard kompromittiert wird, sollten Administratoren in der Lage sein, die zugehörigen Anmeldeinformationen wie bei einem verlorenen oder gestohlenen Laptop zu widerrufen. Dies erfordert einen Datensatz, welche Anmeldeinformationen mit welchem Benutzer und Computer übereinstimmen. Dies ist eine Funktionalität, die in Windows nicht nativ vorhanden ist. Bereitstellungsadministratoren sollten Add-On-Lösungen in Betracht ziehen, um einen solchen Datensatz zu verwalten.

Virtuelle Smartcards auf Consumergeräten, die für den Unternehmenszugriff verwendet werden

Es gibt Techniken, mit denen Mitarbeiter virtuelle Smartcards bereitstellen und sich für Zertifikate registrieren können, die zur Authentifizierung der Benutzer verwendet werden können. Dies ist nützlich, wenn Mitarbeiter versuchen, von Geräten aus, die nicht mit der Unternehmensdomäne verknüpft sind, auf Unternehmensressourcen zuzugreifen. Diese Geräte können weiter definiert werden, sodass Benutzer keine Anwendungen aus anderen Quellen als dem Windows Store herunterladen und ausführen können (z. B. Geräte, auf denen Windows RT ausgeführt werden).

Sie können apIs verwenden, die in Windows Server 2012 R2 und Windows 8.1 eingeführt wurden, um Windows Store-Apps zu erstellen, mit denen Sie den gesamten Lebenszyklus virtueller Smartcards verwalten können. Weitere Informationen finden Sie unter Programmgesteuertes Erstellen und Löschen virtueller Smartcards.

TPM-BesitzerAuthentifizierung in der Registrierung

Wenn ein Gerät oder Computer nicht mit einer Domäne verknüpft ist, wird die TPM-Besitzerauthentifizierung in der Registrierung unter HKEY_LOCAL_MACHINE gespeichert. Dies deckt einige Bedrohungen auf. Die meisten Bedrohungsvektoren werden durch BitLocker geschützt, aber bedrohungen, die nicht geschützt sind, umfassen:

  • Ein böswilliger Benutzer besitzt ein Gerät, das über eine aktive lokale Anmeldesitzung verfügt, bevor das Gerät gesperrt wird. Der böswillige Benutzer könnte einen Brute-Force-Angriff auf die virtuelle Smartcard-PIN versuchen und dann auf die Unternehmensgeheimnisse zugreifen.

  • Ein böswilliger Benutzer besitzt ein Gerät, das über eine aktive VPN-Sitzung (Virtual Private Network) verfügt. Das Gerät wird dann kompromittiert.

Die vorgeschlagene Entschärfung für die vorherigen Szenarien besteht darin, Exchange ActiveSync -Richtlinien (EAS) zu verwenden, um die automatische Sperrzeit von fünf Minuten auf 30 Sekunden der Inaktivität zu reduzieren. Richtlinien für die automatische Sperre können beim Bereitstellen virtueller Smartcards festgelegt werden. Wenn eine Organisation mehr Sicherheit wünscht, kann sie auch eine Einstellung konfigurieren, um ownerAuth vom lokalen Gerät zu entfernen.

Konfigurationsinformationen zum TPM-Registrierungsschlüssel ownerAuth finden Sie unter Gruppenrichtlinie Einstellung Konfigurieren der Ebene der TPM-Besitzerautorisierungsinformationen, die für das Betriebssystem verfügbar sind.

Informationen zu EAS-Richtlinien finden Sie unter Übersicht über Exchange ActiveSync Richtlinien-Engine.

Verwaltete und nicht verwaltete Karten

In der folgenden Tabelle werden die wichtigen Unterschiede zwischen verwalteten und nicht verwalteten virtuellen Smartcards beschrieben, die auf Consumergeräten vorhanden sind:

Vorgang Verwaltete und nicht verwaltete Karten Nicht verwaltete Karten
Pin zurücksetzen, wenn der Benutzer die PIN vergisst Ja Nein, die Karte muss gelöscht und erneut erstellt werden.
Zulassen, dass Benutzer die PIN ändern Ja Nein, die Karte muss gelöscht und erneut erstellt werden.

Verwaltete Karten

Eine verwaltete virtuelle Smartcard kann vom IT-Administrator oder einer anderen Person in dieser festgelegten Rolle gewartet werden. Es ermöglicht dem IT-Administrator, Einfluss auf bestimmte Aspekte der virtuellen Smartcard von der Erstellung bis zur Löschung zu haben. Zum Verwalten dieser Karten ist häufig ein Verwaltungstool für die Bereitstellung virtueller Smartcards erforderlich.

Erstellung einer verwalteten Karte

Ein Benutzer kann eine leere virtuelle Smartcard mithilfe des Tpmvscmgr-Befehlszeilentools erstellen. Dabei handelt es sich um ein integriertes Tool, das mit Administratoranmeldeinformationen über eine Eingabeaufforderung mit erhöhten Rechten ausgeführt wird. Diese virtuelle Smartcard muss mit bekannten Parametern (z. B. Standardwerten) erstellt werden, und sie sollte unformatiert bleiben (insbesondere sollte die Option /generate nicht angegeben werden).

Der folgende Befehl erstellt eine virtuelle Smartcard, die später von einem Smartcard-Verwaltungstool verwaltet werden kann, das von einem anderen Computer gestartet wird (wie im nächsten Abschnitt erläutert):

tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey DEFAULT /PIN PROMPT

Alternativ kann ein Benutzer anstelle eines Standardadministratorschlüssels einen Administratorschlüssel an der Befehlszeile eingeben:

tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey PROMPT /PIN PROMPT

In beiden Fällen muss das Kartenverwaltungssystem den anfänglichen Administratorschlüssel kennen, der verwendet wird, damit es den Besitz der virtuellen Smartcard übernehmen und den Administratorschlüssel in einen Wert ändern kann, auf den nur über das vom IT-Administrator betriebene Kartenverwaltungstool zugegriffen werden kann. Wenn beispielsweise der Standardwert verwendet wird, wird der Administratorschlüssel auf Folgendes festgelegt:

10203040506070801020304050607080102030405060708

Informationen zur Verwendung dieses Befehlszeilentools finden Sie unter Tpmvscmgr.

Verwaltung verwalteter Karten

Nachdem die virtuelle Smartcard erstellt wurde, muss der Benutzer eine Remotedesktopverbindung mit einer Registrierungsstation herstellen, z. B. auf einem Computer, der der Domäne beigetreten ist. Virtuelle Smartcards, die einem Clientcomputer zugeordnet sind, stehen für die Verwendung in der Remotedesktopverbindung zur Verfügung. Der Benutzer kann ein Kartenverwaltungstool innerhalb der Remotesitzung öffnen, das den Besitz der Karte übernehmen und für die Verwendung durch den Benutzer bereitstellen kann. Dies erfordert, dass ein Benutzer eine Remotedesktopverbindung von einem Nicht-Domänencomputer mit einem in die Domäne eingebundenen Computer herstellen darf. Dies kann eine bestimmte Netzwerkkonfiguration erfordern, z. B. über IPsec-Richtlinien.

Wenn Benutzer eine PIN zurücksetzen oder ändern müssen, müssen sie die Remotedesktopverbindung verwenden, um diese Vorgänge abzuschließen. Sie können die integrierten Tools für die PIN-Entsperrung und PIN-Änderung oder das Smartcard-Verwaltungstool verwenden.

Zertifikatverwaltung für verwaltete Karten

Ähnlich wie bei physischen Smartcards erfordern virtuelle Smartcards die Zertifikatregistrierung.

Zertifikatausstellung

Benutzer können sich in einer Remotedesktopsitzung, die zum Bereitstellen der Karte eingerichtet wurde, für Zertifikate registrieren. Dieser Prozess kann auch von dem Smartcard-Verwaltungstool verwaltet werden, das der Benutzer über die Remotedesktopverbindung ausführt. Dieses Modell funktioniert für Bereitstellungen, bei denen der Benutzer eine Registrierungsanforderung mit einer physischen Smartcard signieren muss. Der Treiber für die physische Smartcard muss nicht auf dem Clientcomputer installiert werden, wenn er auf dem Remotecomputer installiert ist. Dies wird durch die in Windows Server 2003 eingeführte Smartcardumleitungsfunktion ermöglicht, die sicherstellt, dass smartcards, die mit dem Clientcomputer verbunden sind, während einer Remotesitzung verwendet werden können.

Alternativ können sich Benutzer ohne Herstellen einer Remotedesktopverbindung über die Zertifikatverwaltungskonsole (certmgr.msc) auf einem Clientcomputer für Zertifikate registrieren. Benutzer können auch eine Anforderung erstellen und aus einer benutzerdefinierten Zertifikatregistrierungsanwendung (z. B. einer Registrierungsstelle), die über kontrollierten Zugriff auf die Zertifizierungsstelle verfügt, an einen Server übermitteln. Dies erfordert spezifische Unternehmenskonfigurationen und Bereitstellungen für Zertifikatregistrierungsrichtlinien (Certificate Enrollment Policies, CEP) und Certificate Enrollment Services (CES).

Zertifikatlebenszyklusverwaltung

Sie können Zertifikate über Remotedesktopverbindungen, Zertifikatregistrierungsrichtlinien oder Zertifikatregistrierungsdienste verlängern. Die Erneuerungsanforderungen können sich je nach Verlängerungsrichtlinie von den ursprünglichen Ausstellungsanforderungen unterscheiden.

Die Zertifikatsperrung erfordert eine sorgfältige Planung. Wenn Informationen über das zu widerrufende Zertifikat zuverlässig verfügbar sind, kann das spezifische Zertifikat problemlos widerrufen werden. Wenn Informationen über das zu widerrufende Zertifikat nicht einfach zu ermitteln sind, müssen möglicherweise alle Zertifikate widerrufen werden, die für den Benutzer unter der Richtlinie ausgestellt wurden, die zum Ausstellen des Zertifikats verwendet wurde. Dies kann beispielsweise der Fall sein, wenn ein Mitarbeiter ein verlorenes oder kompromittiertes Gerät meldet und keine Informationen verfügbar sind, die das Gerät einem Zertifikat ordnet.

Nicht verwaltete Karten

Nicht verwaltete virtuelle Smartcards können von einem IT-Administrator nicht gewartet werden. Nicht verwaltete Karten sind möglicherweise geeignet, wenn eine Organisation nicht über ein aufwendiges Tool für die Smartcardbereitstellungsverwaltung verfügt und die Verwendung von Remotedesktopverbindungen zum Verwalten der Karte nicht wünschenswert ist. Da nicht verwaltete Karten vom IT-Administrator nicht gewartet werden können und ein Benutzer Hilfe bei einer virtuellen Smartcard benötigt (z. B. beim Zurücksetzen oder Entsperren einer PIN), besteht die einzige option, die dem Benutzer zur Verfügung steht, die Karte zu löschen und erneut zu erstellen. Dies führt zum Verlust der Anmeldeinformationen des Benutzers, und er muss sich erneut registrieren.

Erstellung nicht verwalteter Karten

Ein Benutzer kann eine virtuelle Smartcard mithilfe des Tpmvscmgr-Befehlszeilentools erstellen, das mit Administratoranmeldeinformationen über eine Eingabeaufforderung mit erhöhten Rechten ausgeführt wird. Der folgende Befehl erstellt eine nicht verwaltete Karte, die zum Registrieren von Zertifikaten verwendet werden kann:

tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey RANDOM /PIN PROMPT /generate

Dieser Befehl erstellt eine Karte mit einem zufälligen Administratorschlüssel. Der Schlüssel wird nach der Erstellung der Karte automatisch verworfen. Wenn Benutzer ihre PIN vergessen oder ändern möchten, müssen sie die Karte löschen und erneut erstellen. Um die Karte zu löschen, kann ein Benutzer den folgenden Befehl ausführen:

tpmvscmgr.exe destroy /instance <instance ID>

Instanz-ID <> ist der Wert, der auf dem Bildschirm ausgegeben wird, wenn der Benutzer die Karte erstellt. Insbesondere für die erste erstellte Karte lautet die Instanz-ID ROOT\SMARTCARDREADER\0000).

Zertifikatverwaltung für nicht verwaltete Karten

Abhängig von den Sicherheitsanforderungen, die für eine Organisation eindeutig sind, können Sich Benutzer zunächst über die Zertifikatverwaltungskonsole (certmgr.msc) oder aus benutzerdefinierten Zertifikatregistrierungsanwendungen für Zertifikate registrieren. Die letztere Methode kann eine Anforderung erstellen und an einen Server übermitteln, der Zugriff auf die Zertifizierungsstelle hat. Dies erfordert spezifische Organisationskonfigurationen und Bereitstellungen für Zertifikatregistrierungsrichtlinien und Zertifikatregistrierungsdienste. Windows verfügt über integrierte Tools, insbesondere Certreq.exe und Certutil.exe, die von Skripts verwendet werden können, um die Registrierung über die Befehlszeile durchzuführen.

Anfordern des Zertifikats durch angabe von Domänenanmeldeinformationen

Die einfachste Möglichkeit für Benutzer, Zertifikate anzufordern, besteht darin, ihre Domänenanmeldeinformationen über ein Skript bereitzustellen, das die Registrierung über integrierte Komponenten durchführen kann, die Sie für Zertifikatanforderungen eingerichtet haben.

Alternativ kann eine Anwendung (z. B. eine Branchen-App) auf dem Computer installiert werden, um die Registrierung durchzuführen, indem eine Anforderung auf dem Client generiert wird. Die Anforderung wird an einen HTTP-Server übermittelt, der sie an eine Registrierungsstelle weiterleiten kann.

Eine weitere Möglichkeit besteht darin, dass der Benutzer auf ein Registrierungsportal zugreifen kann, das über Internet Explorer verfügbar ist. Die Webseite kann die Skript-APIs verwenden, um die Zertifikatregistrierung durchzuführen.

Signieren der Anforderung mit einem anderen Zertifikat

Sie können Benutzern ein kurzfristiges Zertifikat über eine Pfx-Datei (Personal Information Exchange) bereitstellen. Sie können die PFX-Datei generieren, indem Sie eine Anforderung von einem in die Domäne eingebundenen Computer initiieren. Zusätzliche Richtlinieneinschränkungen können für die PFX-Datei erzwungen werden, um die Identität des Benutzers zu bestätigen.

Der Benutzer kann das Zertifikat in den MY-Speicher (den Zertifikatspeicher des Benutzers) importieren. Und Ihre Organisation kann dem Benutzer ein Skript präsentieren, das verwendet werden kann, um die Anforderung für das kurzfristige Zertifikat zu signieren und eine virtuelle Smartcard anzufordern.

Für Bereitstellungen, bei denen Benutzer eine physische Smartcard zum Signieren der Zertifikatanforderung verwenden müssen, können Sie das folgende Verfahren verwenden:

  1. Benutzer initiieren eine Anforderung auf einem in die Domäne eingebundenen Computer.

  2. Benutzer führen die Anforderung mithilfe einer physischen Smartcard aus, um die Anforderung zu signieren.

  3. Benutzer laden die Anforderung auf die virtuelle Smartcard auf ihren Clientcomputer herunter.

Verwenden eines einmaligen Kennworts für die Registrierung

Eine weitere Option, um sicherzustellen, dass Benutzer vor der Ausstellung virtueller Smartcardzertifikate stark authentifiziert werden, besteht darin, einem Benutzer ein einmaliges Kennwort per SMS, E-Mail oder Telefon zu senden. Der Benutzer gibt dann das einmalige Kennwort während der Zertifikatregistrierung aus einer Anwendung oder einem Skript auf einem Desktop ein, der integrierte Befehlszeilentools aufruft.

Zertifikatlebenszyklusverwaltung

Die Zertifikaterneuerung kann mit denselben Tools erfolgen, die für die anfängliche Zertifikatregistrierung verwendet werden. Zertifikatregistrierungsrichtlinien und Zertifikatregistrierungsdienste können auch verwendet werden, um eine automatische Verlängerung durchzuführen.

Die Zertifikatsperrung erfordert eine sorgfältige Planung. Wenn Informationen über das zu widerrufende Zertifikat zuverlässig verfügbar sind, kann das spezifische Zertifikat problemlos widerrufen werden. Wenn Informationen über das zu widerrufende Zertifikat nicht einfach zu ermitteln sind, müssen möglicherweise alle Zertifikate widerrufen werden, die für den Benutzer unter der Richtlinie ausgestellt wurden, die zum Ausstellen des Zertifikats verwendet wurde. Dies kann beispielsweise der Fall sein, wenn ein Mitarbeiter ein verlorenes oder kompromittiertes Gerät meldet und keine Informationen verfügbar sind, die das Gerät einem Zertifikat ordnet.

Verwalten virtueller Smartcards

Die Wartung ist ein wesentlicher Teil des Lebenszyklus virtueller Smartcards und eine der wichtigsten Aspekte aus Verwaltungssicht. Nachdem virtuelle Smartcards erstellt, personalisiert und bereitgestellt wurden, können sie für eine bequeme zweistufige Authentifizierung verwendet werden. Bereitstellungsadministratoren müssen sich über mehrere gängige Verwaltungsszenarien bewusst sein, die mithilfe einer erworbenen virtuellen Smartcardlösung oder von Fall zu Fall mit internen Methoden angegangen werden können.

Erneuerung: Das Erneuern von Anmeldeinformationen für virtuelle Smartcards ist eine regelmäßige Aufgabe, die erforderlich ist, um die Sicherheit einer bereitstellung einer virtuellen Smartcard zu gewährleisten. Die Verlängerung ist das Ergebnis einer signierten Anforderung eines Benutzers, der das gewünschte Schlüsselpaar für die neuen Anmeldeinformationen angibt. Je nach Auswahl oder Bereitstellungsspezifikation des Benutzers kann der Benutzer Anmeldeinformationen mit demselben Schlüsselpaar anfordern, das zuvor verwendet wurde, oder ein neu generiertes Schlüsselpaar auswählen.

Bei der Verlängerung mit einem zuvor verwendeten Schlüssel sind keine zusätzlichen Schritte erforderlich, da bei der ersten Bereitstellung ein starkes Zertifikat mit diesem Schlüssel ausgestellt wurde. Wenn der Benutzer jedoch ein neues Schlüsselpaar anfordert, müssen Sie die gleichen Schritte ausführen, die bei der Bereitstellung verwendet wurden, um die Stärke der Anmeldeinformationen sicherzustellen. Die Erneuerung mit neuen Schlüsseln sollte in regelmäßigen Abständen erfolgen, um anspruchsvollen langfristigen Versuchen böswilliger Benutzer, das System zu infiltrieren, entgegenzuwirken. Wenn neue Schlüssel zugewiesen werden, müssen Sie sicherstellen, dass die neuen Schlüssel von den erwarteten Personen auf denselben virtuellen Smartcards verwendet werden.

Zurücksetzen von PINs: Das Zurücksetzen virtueller Smartcard-PINs ist ebenfalls eine häufige Notwendigkeit, da Mitarbeiter ihre PINs vergessen. Es gibt zwei Möglichkeiten, dies zu erreichen, abhängig von den zuvor in der Bereitstellung getroffenen Entscheidungen: Verwenden Sie ein PUK (wenn das PUK festgelegt ist), oder verwenden Sie einen Challenge-Response-Ansatz mit dem Verwaltungsschlüssel. Vor dem Zurücksetzen der PIN muss die Identität des Benutzers mit einem anderen Mittel als der Karte überprüft werden– höchstwahrscheinlich mit der Überprüfungsmethode, die Sie bei der ersten Bereitstellung verwendet haben (z. B. eine persönliche Überprüfung). Dies ist in Benutzerfehlerszenarien erforderlich, wenn Benutzer ihre PINs vergessen. Sie sollten jedoch niemals eine PIN zurücksetzen, wenn sie kompromittiert wurde, da das Sicherheitsrisiko nach dem Offenstellen der PIN schwer zu identifizieren ist. Die gesamte Karte sollte erneut ausgestellt werden.

Zurücksetzen der Sperrung: Ein häufiger Vorläufer zum Zurücksetzen einer PIN ist die Notwendigkeit, die TPM-Sperrzeit zurückzusetzen, da die TPM-Antihämmerlogik mit mehreren PIN-Eingabefehlern für eine virtuelle Smartcard in Verbindung steht. Dies ist derzeit gerätespezifisch.

Ausmustern von Karten: Der letzte Aspekt der Verwaltung virtueller Smartcards ist das Ausmustern von Karten, wenn sie nicht mehr benötigt werden. Wenn ein Mitarbeiter das Unternehmen verlässt, ist es wünschenswert, den Domänenzugriff zu widerrufen. Durch das Widerrufen von Anmeldeinformationen bei der Zertifizierungsstelle (CA) wird dieses Ziel erreicht.

Die Karte sollte erneut ausgestellt werden, wenn derselbe Computer von anderen Mitarbeitern verwendet wird, ohne das Betriebssystem neu zu installieren. Die Wiederverwendung der früheren Karte kann es dem ehemaligen Mitarbeiter ermöglichen, die PIN nach dem Verlassen der Organisation zu ändern und dann Zertifikate zu entführen, die dem neuen Benutzer gehören, um nicht autorisierten Domänenzugriff zu erhalten. Wenn der Mitarbeiter jedoch den virtuellen Smartcard-fähigen Computer verwendet, ist es nur erforderlich, die zertifikate zu widerrufen, die auf der virtuellen Smartcard gespeichert sind.

Notfallvorsorge

Karten-Neuausgabe

Das häufigste Szenario in einer Organisation ist die Neuausgabe virtueller Smartcards. Dies kann erforderlich sein, wenn das Betriebssystem neu installiert wird oder wenn die virtuelle Smartcard in irgendeiner Weise kompromittiert wird. Bei der Neuausstellung handelt es sich im Wesentlichen um die Neugestaltung der Karte, bei der eine neue PIN und ein neuer Administratorschlüssel eingerichtet und ein neuer Satz zugeordneter Zertifikate bereitgestellt wird. Dies ist eine sofortige Notwendigkeit, wenn eine Karte kompromittiert wird, z. B. wenn der virtuelle Smartcard-geschützte Computer einem Angreifer ausgesetzt wird, der möglicherweise Zugriff auf die richtige PIN hat. Die Neuausstellung ist die sicherste Antwort auf eine unbekannte Offenlegung des Datenschutzes einer Karte. Darüber hinaus ist eine erneute Ausgabe nach der Neuinstallation eines Betriebssystems erforderlich, da das virtuelle Smartcard-Geräteprofil zusammen mit allen anderen Benutzerdaten entfernt wird, wenn das Betriebssystem neu installiert wird.

Blockierte virtuelle Smartcard

Das Antihämmerverhalten einer virtuellen TPM-Smartcard unterscheidet sich von dem verhalten einer physischen Smartcard. Eine physische Smartcard blockiert sich selbst, nachdem der Benutzer einige Male die falsche PIN eingegeben hat. Eine virtuelle TPM-Smartcard tritt in eine zeitliche Verzögerung ein, nachdem der Benutzer einige Male die falsche PIN eingegeben hat. Wenn sich das TPM im Zeitverzögerungsmodus befindet und der Benutzer versucht, die virtuelle TPM-Smartcard zu verwenden, wird der Benutzer benachrichtigt, dass die Karte blockiert ist. Wenn Sie die integrierte Entsperrfunktion aktivieren, kann der Benutzer außerdem die Benutzeroberfläche sehen, um die virtuelle Smartcard zu entsperren und die PIN zu ändern. Durch das Entsperren der virtuellen Smartcard wird die TPM-Sperre nicht zurückgesetzt. Der Benutzer muss einen zusätzlichen Schritt ausführen, um die TPM-Sperre zurückzusetzen oder auf das Ablaufen der zeitverzögerten Verzögerung zu warten.

Weitere Informationen zum Festlegen der Richtlinie Integriertes Entsperren zulassen finden Sie unter Zulassen der Anzeige des Bildschirms "Integriertes Entsperren" zum Zeitpunkt der Anmeldung.

Weitere Informationen

Grundlagen und Evaluierung virtueller Smartcards

Erste Schritte mit virtuellen Smartcards: Handbuch mit exemplarischer Vorgehensweise

Verwenden virtueller Smartcards

Bewerten der Sicherheit virtueller Smartcards

Tpmvscmgr