Übersicht über virtuelle Smartcards

Warnung

Windows Hello for Business und FIDO2-Sicherheitsschlüssel sind moderne zweistufige Authentifizierungsmethoden für Windows. Kunden, die virtuelle Smartcards verwenden, werden empfohlen, zu Windows Hello for Business oder FIDO2 zu wechseln. Für neue Windows-Installationen empfehlen wir Windows Hello for Business oder FIDO2-Sicherheitsschlüssel.

Dieser Artikel bietet eine Übersicht über die technologie des virtuellen intelligenten Karte.

Funktionsbeschreibung

Die Virtual Smart Karte-Technologie bietet durch die Zwei-Faktor-Authentifizierung vergleichbare Sicherheitsvorteile wie physische Smartcards. Virtuelle Smartcards emulieren die Funktionalität physischer Smartcards, verwenden jedoch den TPM-Chip (Trusted Platform Module), der auf Geräten verfügbar ist. Virtuelle Smartcards erfordern keine separaten physischen Karte und Leser. Sie erstellen virtuelle Smartcards im TPM, in denen die für die Authentifizierung verwendeten Schlüssel in kryptografisch gesicherter Hardware gespeichert werden.

Durch die Verwendung von TPM-Geräten, die die gleichen kryptografischen Funktionen wie physische Smartcards bereitstellen, erreichen virtuelle Smartcards die drei wichtigsten Eigenschaften, die für Smartcards gewünscht werden: Nicht-Exportierbarkeit, isolierte Kryptografie und Antihämmern.

Praktische Anwendungsfälle

Virtuelle Smartcards sind funktional ähnlich wie physische Smartcards, die in Windows als immer eingefügte Smartcards angezeigt werden. Virtuelle Smartcards können für die Authentifizierung bei externen Ressourcen, den Schutz von Daten durch Verschlüsselung und die Integrität durch Signierung verwendet werden. Sie können virtuelle Smartcards mithilfe von internen Methoden oder einer erworbenen Lösung bereitstellen, und sie können ein Ersatz für andere Methoden der starken Authentifizierung in einer Unternehmensumgebung jeder Größenordnung sein.

Anwendungsfälle für die Authentifizierung

Zweistufige Authentifizierung\u2012basierter Remotezugriff

Nachdem ein Benutzer über eine voll funktionsfähige virtuelle TPM-smarte Karte verfügt, die mit einem Anmeldezertifikat bereitgestellt wurde, wird das Zertifikat verwendet, um authentifizierten Zugriff auf Unternehmensressourcen zu erhalten. Wenn das richtige Zertifikat für die virtuelle Karte bereitgestellt wird, muss der Benutzer nur die PIN für die virtuelle intelligente Karte angeben, als wäre es ein physischer intelligenter Karte, um sich bei der Domäne anzumelden.

In der Praxis ist dies so einfach wie die Eingabe eines Kennworts für den Zugriff auf das System. Technisch gesehen ist es viel sicherer. Die Verwendung der virtuellen intelligenten Karte für den Zugriff auf das System beweist der Domäne, dass der Benutzer, der die Authentifizierung anfordert, im Besitz des PCs ist, auf dem die Karte bereitgestellt wurde, und die virtuelle smart Karte PIN kennt. Da diese Anforderung möglicherweise nicht von einem anderen System als dem system stammen konnte, das von der Domäne für den Zugriff dieses Benutzers zertifiziert wurde, und der Benutzer die Anforderung nicht hätte initiieren können, ohne die PIN zu kennen, wird eine starke zweistufige Authentifizierung eingerichtet.

Clientauthentifizierung

Virtuelle Smartcards können auch für die Clientauthentifizierung mithilfe von TLS/SSL oder einer ähnlichen Technologie verwendet werden. Ähnlich wie der Domänenzugriff mit einem virtuellen intelligenten Karte kann ein Authentifizierungszertifikat für die virtuelle intelligente Karte bereitgestellt werden, das einem Remotedienst bereitgestellt wird, wie im Clientauthentifizierungsprozess angefordert. Dies entspricht den Prinzipien der zweistufigen Authentifizierung, da das Zertifikat nur von dem Computer aus zugänglich ist, auf dem die virtuelle intelligente Karte gehostet wird, und der Benutzer die PIN für den ersten Zugriff auf die Karte eingeben muss.

Umleitung virtueller smarter Karte für Remotedesktopverbindungen

Das Konzept der zweistufigen Authentifizierung im Zusammenhang mit virtuellen Smartcards basiert auf der Nähe der Benutzer zu den Geräten, die sie für den Zugriff auf die Domäne verwenden. Wenn Sie eine Verbindung mit einem Gerät herstellen, auf dem virtuelle Smartcards gehostet werden, können Sie die virtuellen Smartcards, die sich auf dem Remotegerät befinden, während der Remotesitzung nicht verwenden. Sie können jedoch auf die virtuellen Smartcards auf dem verbindenden Gerät (das sich unter Ihrer physischen Kontrolle befindet) zugreifen, die auf das Remotegerät geladen werden. Sie können die virtuellen Smartcards verwenden, als ob sie installiert wären, indem Sie das TPM der Remotegeräte verwenden, um Ihre Berechtigungen auf das Remotegerät zu erweitern und gleichzeitig die Prinzipien der zweistufigen Authentifizierung beizubehalten.

Anwendungsfälle für Vertraulichkeit

S/MIME-E-Mail-Verschlüsselung

Physische Smartcards sind so konzipiert, dass sie private Schlüssel enthalten. Sie können die privaten Schlüssel für die E-Mail-Verschlüsselung und -Entschlüsselung verwenden. Die gleiche Funktionalität gibt es auch bei virtuellen Smartcards. Durch die Verwendung von S/MIME mit dem öffentlichen Schlüssel eines Benutzers zum Verschlüsseln von E-Mails wird dem Absender einer E-Mail sichergestellt, dass nur die Person mit dem entsprechenden privaten Schlüssel die E-Mail entschlüsseln kann. Diese Zusicherung ist das Ergebnis der Nicht-Exportierbarkeit des privaten Schlüssels. Es ist nie in Reichweite von Schadsoftware vorhanden und bleibt durch das TPM geschützt – auch während der Entschlüsselung.

BitLocker für Datenvolumes

Die BitLocker-Laufwerkverschlüsselungstechnologie verwendet die Verschlüsselung mit symmetrischen Schlüsseln, um den Inhalt der Festplatte eines Benutzers zu schützen. BitLocker stellt sicher, dass ein Angreifer keine Daten vom Laufwerk lesen kann, wenn der physische Besitz einer Festplatte kompromittiert wird. Der Schlüssel, der zum Verschlüsseln des Laufwerks verwendet wird, kann in einem virtuellen intelligenten Karte gespeichert werden. Dies erfordert Kenntnisse über die virtuelle smart Karte PIN für den Zugriff auf das Laufwerk und den Besitz des Geräts, auf dem die virtuelle TPM-Karte gehostet wird. Wenn das Laufwerk ohne Zugriff auf das TPM abgerufen wird, das die virtuelle intelligente Karte hostet, ist jeder Brute-Force-Angriff schwierig.

Sie können BitLocker verwenden, um tragbare Laufwerke zu verschlüsseln und Schlüssel in virtuellen Smartcards zu speichern. In diesem Szenario kann das verschlüsselte Laufwerk im Gegensatz zur Verwendung von BitLocker mit einem physischen intelligenten Karte nur verwendet werden, wenn es mit dem Gerät für die virtuelle intelligente Karte verbunden ist, die zum Verschlüsseln des Laufwerks verwendet wird, da der BitLocker-Schlüssel nur vom Gerät aus zugänglich ist. Diese Methode kann nützlich sein, um die Sicherheit von Sicherungslaufwerken und persönlichen Speicher zu gewährleisten, die auch außerhalb der Standard Festplatte verwendet werden.

Anwendungsfall "Datenintegrität"

Signieren von Daten

Um die Erstellung von Daten zu überprüfen, kann ein Benutzer sie mithilfe eines privaten Schlüssels signieren, der in der virtuellen intelligenten Karte gespeichert ist. Digitale Signaturen bestätigen die Integrität und den Ursprung der Daten.

  • Wenn der Schlüssel in einem Betriebssystem gespeichert wird, auf das zugegriffen werden kann, könnten böswillige Benutzer darauf zugreifen und ihn verwenden, um bereits signierte Daten zu ändern oder die Identität des Schlüsselbesitzers zu spoofen.
  • Das Speichern des Schlüssels in einer virtuellen intelligenten Karte bedeutet, dass Sie ihn nur zum Signieren von Daten auf dem Hostgerät verwenden können. Sie können den Schlüssel nicht in andere Systeme exportieren (absichtlich oder unbeabsichtigt, z. B. bei Diebstahl von Schadsoftware), wodurch digitale Signaturen sicherer sind als andere Methoden für die Speicherung privater Schlüssel.

Hardwareanforderungen

Um die Virtuelle Intelligente Karte-Technologie verwenden zu können, ist TPM 1.2 für Geräte mit einem unterstützten Betriebssystem mindestens erforderlich.