Erste Schritte mit virtuellen Smartcards: Handbuch mit exemplarischer Vorgehensweise

• Gilt für::

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Warnung

Windows Hello for Business und FIDO2-Sicherheitsschlüssel sind moderne zweistufige Authentifizierungsmethoden für Windows. Kunden, die virtuelle Smartcards verwenden, werden empfohlen, zu Windows Hello for Business oder FIDO2 zu wechseln. Für neue Windows-Installationen empfehlen wir Windows Hello for Business oder FIDO2-Sicherheitsschlüssel.

In diesem Thema für IT-Experten wird beschrieben, wie Sie eine einfache Testumgebung für die Verwendung virtueller TPM-Smartcards einrichten.

Virtuelle Smartcards sind eine Technologie von Microsoft, die vergleichbare Sicherheitsvorteile bei der zweistufigen Authentifizierung für physische Smartcards bietet. Sie bieten auch mehr Komfort für Benutzer und niedrigere Kosten für Organisationen für die Bereitstellung. Durch die Verwendung von TPM-Geräten (Trusted Platform Module), die die gleichen kryptografischen Funktionen wie physische Smartcards bereitstellen, erreichen virtuelle Smartcards die drei wichtigsten Eigenschaften, die von Smartcards gewünscht werden: Nichtexportierbarkeit, isolierte Kryptografie und Antihämmern.

In dieser schrittweisen exemplarischen Vorgehensweise erfahren Sie, wie Sie eine grundlegende Testumgebung für die Verwendung virtueller TPM-Smartcards einrichten. Nachdem Sie diese exemplarische Vorgehensweise abgeschlossen haben, ist auf dem Windows-Computer eine funktionsfähige virtuelle intelligente Karte installiert.

Sie sollten in der Lage sein, diese exemplarische Vorgehensweise in weniger als einer Stunde abzuschließen, ohne Software zu installieren und die Testdomäne einzurichten.

Schritte zur exemplarischen Vorgehensweise

• Voraussetzungen
• Schritt 1: Erstellen der Zertifikatvorlage
• Schritt 2: Erstellen des virtuellen intelligenten TPM-Karte
• Schritt 3: Registrieren für das Zertifikat auf der virtuellen TPM-Smartcard

Wichtig

Diese grundlegende Konfiguration dient nur zu Testzwecken. Es ist nicht für die Verwendung in einer Produktionsumgebung vorgesehen.

Voraussetzungen

Sie benötigen:

• Ein Computer mit Windows 10 mit einem installierten und voll funktionsfähigen TPM (Version 1.2 oder Version 2.0)
• Eine Testdomäne, mit der der oben aufgeführte Computer verknüpft werden kann
• Zugriff auf einen Server in dieser Domäne mit einer vollständig installierten und ausgeführten Zertifizierungsstelle (ZS)

Schritt 1: Erstellen der Zertifikatvorlage

Auf Ihrem Domänenserver müssen Sie eine Vorlage für das Zertifikat erstellen, das Sie für die virtuelle intelligente Karte anfordern.

So erstellen Sie die Zertifikatvorlage

1. Öffnen Sie auf Ihrem Server die Microsoft Management Console (MMC). Eine Möglichkeit besteht darin, mmc.exe im Startmenü einzugeben, mit der rechten Maustaste auf mmc.exezu klicken und als Administrator ausführen auszuwählen.
2. Auswählen des Snap-Ins "Datei>hinzufügen/entfernen"
3. Wählen Sie in der Liste der verfügbaren Snap-Ins zertifikatvorlagen und dann Hinzufügen aus.
4. Zertifikatvorlagen befinden sich jetzt im MMC unter Konsolenstamm . Doppelklicken Sie darauf, um alle verfügbaren Zertifikatvorlagen anzuzeigen.
5. Klicken Sie mit der rechten Maustaste auf die Vorlage Smartcard-Anmeldung, und wählen Sie Vorlage duplizieren aus.
6. Überprüfen Sie auf der Registerkarte Kompatibilität unter Zertifizierungsstelle die Auswahl, und ändern Sie sie bei Bedarf.
7. Auf der Registerkarte Allgemein :
   1. Geben Sie einen Namen an, z. B . TPM Virtual Smartcard-Anmeldung
   2. Legen Sie den Gültigkeitszeitraum auf den gewünschten Wert fest.
8. Auf der Registerkarte Anforderungsverarbeitung :
   1. Legen Sie den Zweck auf Signatur und Smartcardanmeldung fest.
   2. Wählen Sie Benutzer während der Registrierung auffordern aus.
9. Auf der Registerkarte Kryptografie :
   1. Festlegen der Mindestschlüsselgröße auf 2048
   2. Wählen Sie Anforderungen müssen einen der folgenden Anbieter verwenden aus, und wählen Sie dann Microsoft Base Smartcard Crypto Provider aus.
10. Fügen Sie auf der Registerkarte Sicherheit die Sicherheitsgruppe hinzu, der Sie Registrierungszugriff gewähren möchten. Wenn Sie beispielsweise allen Benutzern Zugriff gewähren möchten, wählen Sie die Gruppe Authentifizierte Benutzer und dann Berechtigungen für sie registrieren aus.
11. Wählen Sie OK aus, um Ihre Änderungen abzuschließen und die neue Vorlage zu erstellen. Ihre neue Vorlage sollte jetzt in der Liste der Zertifikatvorlagen angezeigt werden.
12. Wählen Sie Datei und dann Snap-In hinzufügen/entfernen aus, um das Zertifizierungsstellen-Snap-In Ihrer MMC-Konsole hinzuzufügen. Wenn Sie gefragt werden, welchen Computer Sie verwalten möchten, wählen Sie den Computer aus, auf dem sich die Zertifizierungsstelle befindet, wahrscheinlich lokaler Computer.
13. Erweitern Sie im linken Bereich der MMC die Option Zertifizierungsstelle (lokal), und erweitern Sie dann Ihre Zertifizierungsstelle in der Liste Zertifizierungsstelle.
14. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, wählen Sie Neu und dann Ausstellende Zertifikatvorlage aus.
15. Wählen Sie in der Liste die neue Vorlage aus, die Sie erstellt haben (TPM Virtual Smartcard-Anmeldung), und wählen Sie dann OK aus.

Hinweis

Es kann einige Zeit dauern, bis Ihre Vorlage auf allen Servern repliziert und in dieser Liste verfügbar ist.

1. Nachdem die Vorlage repliziert wurde, klicken Sie im MMC mit der rechten Maustaste in die Liste Zertifizierungsstelle, wählen Sie Alle Aufgaben und dann Dienst beenden aus. Klicken Sie dann erneut mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, wählen Sie Alle Aufgaben und dann Dienst starten aus.

Schritt 2: Erstellen des virtuellen intelligenten TPM-Karte

In diesem Schritt erstellen Sie die virtuelle intelligente Karte auf dem Clientcomputer mithilfe des Befehlszeilentools Tpmvscmgr.exe.

So erstellen Sie die virtuelle TPM-Karte

1. Öffnen Sie auf einem in die Domäne eingebundenen Computer ein Eingabeaufforderungsfenster mit Administratoranmeldeinformationen.
2. Geben Sie an der Eingabeaufforderung Folgendes ein, und drücken Sie dann die EINGABETASTE:

tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

Dadurch wird eine virtuelle intelligente Karte mit dem Namen TestVSC erstellt, der Entsperrschlüssel weggelassen und das Dateisystem auf dem Karte generiert. Die PIN ist auf den Standardwert festgelegt, 12345678. Um zur Eingabe einer PIN aufgefordert zu werden, können Sie anstelle von /pin default/pin prompt eingeben.
Weitere Informationen zum Tpmvscmgr-Befehlszeilentool finden Sie unter Verwenden von virtuellen Smartcards und Tpmvscmgr.

1. Warten Sie einige Sekunden, bis der Prozess abgeschlossen ist. Nach Abschluss des Vorgangs stellt Tpmvscmgr.exe Ihnen die Geräte-instance-ID für die virtuelle TPM-Smartcard zur Verfügung. Speichern Sie diese ID zur späteren Referenz, da Sie sie zum Verwalten oder Entfernen der virtuellen intelligenten Karte benötigen.

Schritt 3: Registrieren für das Zertifikat auf der virtuellen TPM-Smartcard

Die virtuelle intelligente Karte muss mit einem Anmeldezertifikat bereitgestellt werden, damit sie voll funktionsfähig ist.

So registrieren Sie das Zertifikat

1. Öffnen Sie die Zertifikatkonsole, indem Sie certmgr.msc im Startmenü eingeben.
2. Klicken Sie mit der rechten Maustaste auf Persönlich, wählen Sie Alle Aufgaben und dann Neues Zertifikat anfordern aus.
3. Befolgen Sie die Anweisungen, und aktivieren Sie das Kontrollkästchen TPM Virtual Smartcard-Anmeldung (oder einen beliebigen Namen der Vorlage in Schritt 1), wenn Eine Liste von Vorlagen angeboten wird.
4. Wenn Sie zur Eingabe eines Geräts aufgefordert werden, wählen Sie die virtuelle microsoft smart Karte aus, die der im vorherigen Abschnitt erstellten Version entspricht. Es wird als Identitätsgerät (Microsoft-Profil) angezeigt.
5. Geben Sie die PIN ein, die beim Erstellen des virtuellen intelligenten TPM-Karte eingerichtet wurde, und wählen Sie dann OK aus.
6. Warten Sie, bis die Registrierung abgeschlossen ist, und wählen Sie dann Fertig stellen aus.

Die virtuelle intelligente Karte kann jetzt als alternative Anmeldeinformationen für die Anmeldung bei Ihrer Domäne verwendet werden. Um zu überprüfen, ob Ihre virtuelle intelligente Karte-Konfiguration und Zertifikatregistrierung erfolgreich waren, melden Sie sich von Ihrer aktuellen Sitzung ab, und melden Sie sich dann an. Wenn Sie sich anmelden, wird das Symbol für die neue virtuelle TPM-Karte auf dem Bildschirm Secure Desktop (Anmeldung) angezeigt, oder Sie werden automatisch zum Dialogfeld "TPM Smart Karte Sign-in" weitergeleitet. Wählen Sie das Symbol aus, geben Sie Ihre PIN ein (falls erforderlich), und wählen Sie dann OK aus. Sie sollten bei Ihrem Domänenkonto angemeldet sein.

Weitere Informationen

• Grundlagen und Evaluierung virtueller Smartcards
• Verwenden virtueller Smartcards
• Bereitstellen virtueller Smartcards