Übersicht über virtuelle Smartcards

Dieses Thema für IT-Experten bietet eine Übersicht über die virtuelle Smartcard-Technologie, die von Microsoft entwickelt wurde, und enthält Links zu weiteren Themen , die Sie bei der Bewertung, Planung, Bereitstellung und Verwaltung virtueller Smartcards unterstützen.

Meinten Sie...

Hinweis

Windows Hello for Business ist die moderne zweistufige Authentifizierung für Windows 10. Microsoft wird virtuelle Smartcards in Zukunft als veraltet festlegen, aber zu diesem Zeitpunkt wurde kein Datum festgelegt. Kunden, die Windows 10 und virtuelle Smartcards verwenden, sollten zu Windows Hello for Business wechseln. Microsoft wird das Datum frühzeitig veröffentlichen, um sicherzustellen, dass Kunden eine angemessene Vorlaufzeit haben, um zu Windows Hello for Business zu wechseln. Es wird empfohlen, dass neue Windows 10-Bereitstellungen Windows Hello for Business verwenden. Virtuelle Smartcards werden weiterhin für Windows 7 und Windows 8 unterstützt.

Funktionsbeschreibung

Die virtuelle Smartcard-Technologie von Microsoft bietet durch die Zwei-Faktor-Authentifizierung vergleichbare Sicherheitsvorteile wie physische Smartcards. Virtuelle Smartcards emulieren die Funktionalität physischer Smartcards, verwenden jedoch den TPM-Chip (Trusted Platform Module), der in vielen Organisationen auf Computern verfügbar ist, anstatt eine separate physische Smartcard und einen separaten Reader verwenden zu müssen. Virtuelle Smartcards werden im TPM erstellt, in dem die schlüssel, die für die Authentifizierung verwendet werden, in kryptografisch gesicherter Hardware gespeichert werden.

Durch die Verwendung von TPM-Geräten, die die gleichen kryptografischen Funktionen wie physische Smartcards bereitstellen, erreichen virtuelle Smartcards die drei wichtigsten Eigenschaften, die für Smartcards gewünscht werden: Nicht-Exportierbarkeit, isolierte Kryptografie und Antihämmern.

Praktische Anwendungsfälle

Virtuelle Smartcards sind funktional ähnlich wie physische Smartcards und werden in Windows als immer eingefügte Smartcards angezeigt. Virtuelle Smartcards können für die Authentifizierung bei externen Ressourcen, den Schutz von Daten durch sichere Verschlüsselung und die Integrität durch zuverlässige Signatur verwendet werden. Sie können problemlos mithilfe von internen Methoden oder einer erworbenen Lösung bereitgestellt werden und können zu einem vollständigen Ersatz für andere Methoden der starken Authentifizierung in einem Unternehmenssetting jeder Größenordnung werden.

Anwendungsfälle für die Authentifizierung

Zweistufige Authentifizierung\u2012basierter Remotezugriff

Nachdem ein Benutzer über eine voll funktionsfähige virtuelle TPM-Smartcard verfügt, die mit einem Anmeldezertifikat bereitgestellt wurde, wird das Zertifikat verwendet, um stark authentifizierten Zugriff auf Unternehmensressourcen zu erhalten. Wenn das richtige Zertifikat für die virtuelle Karte bereitgestellt wird, muss der Benutzer nur die PIN für die virtuelle Smartcard angeben, als wäre es eine physische Smartcard, um sich bei der Domäne anzumelden.

In der Praxis ist dies so einfach wie die Eingabe eines Kennworts für den Zugriff auf das System. Technisch gesehen ist es viel sicherer. Die Verwendung der virtuellen Smartcard für den Zugriff auf das System beweist der Domäne, dass der Benutzer, der die Authentifizierung anfordert, im Besitz des PCs ist, auf dem die Karte bereitgestellt wurde, und die virtuelle Smartcard-PIN kennt. Da diese Anforderung möglicherweise nicht von einem anderen System als dem system stammen konnte, das von der Domäne für den Zugriff dieses Benutzers zertifiziert wurde, und der Benutzer die Anforderung nicht hätte initiieren können, ohne die PIN zu kennen, wird eine starke zweistufige Authentifizierung eingerichtet.

Clientauthentifizierung

Virtuelle Smartcards können auch mithilfe von Secure Socket Layer (SSL) oder einer ähnlichen Technologie für die Clientauthentifizierung verwendet werden. Ähnlich wie beim Domänenzugriff mit einer virtuellen Smartcard kann ein Authentifizierungszertifikat für die virtuelle Smartcard bereitgestellt werden, das einem Remotedienst bereitgestellt wird, wie im Clientauthentifizierungsprozess angefordert. Dies entspricht den Prinzipien der zweistufigen Authentifizierung, da das Zertifikat nur von dem Computer aus zugänglich ist, auf dem die virtuelle Smartcard gehostet wird, und der Benutzer die PIN für den ersten Zugriff auf die Karte eingeben muss.

Umleitung virtueller Smartcards für Remotedesktopverbindungen

Das Konzept der zweistufigen Authentifizierung im Zusammenhang mit virtuellen Smartcards basiert auf der Nähe der Benutzer zu den Computern, über die sie auf Domänenressourcen zugreifen. Wenn ein Benutzer eine Remoteverbindung mit einem Computer herstellt, auf dem virtuelle Smartcards gehostet werden, können die virtuellen Smartcards, die sich auf dem Remotecomputer befinden, während der Remotesitzung nicht verwendet werden. Die virtuellen Smartcards, die auf dem verbindenden Computer gespeichert sind (der sich unter der physischen Kontrolle des Benutzers befindet) werden jedoch auf den Remotecomputer geladen und können so verwendet werden, als ob sie mithilfe des TPM des Remotecomputers installiert würden. Dadurch werden die Berechtigungen eines Benutzers auf den Remotecomputer erweitert, wobei die Prinzipien der zweistufigen Authentifizierung beibehalten werden.

Windows To Go und virtuelle Smartcards

Virtuelle Smartcards funktionieren gut mit Windows To Go, wo ein Benutzer von einem kompatiblen Wechselspeichergerät aus eine unterstützte Version von Windows starten kann. Eine virtuelle Smartcard kann für den Benutzer erstellt werden, die an das TPM auf dem physischen Hostcomputer gebunden ist, mit dem das Wechselmediengerät verbunden ist. Wenn der Benutzer das Betriebssystem von einem anderen physischen Computer startet, ist die virtuelle Smartcard nicht verfügbar. Dies kann für Szenarien verwendet werden, in der ein einzelner physischer Computer von vielen Benutzern gemeinsam genutzt wird. Jedem Benutzer kann ein Wechseldatenträger für Windows To Go zur Verfügung gestellt werden, dessen virtuelle Smartcard für den Benutzer bereitgestellt wird. Auf diese Weise können Benutzer nur auf ihre persönliche virtuelle Smartcard zugreifen.

Anwendungsfälle für Vertraulichkeit

S/MIME-E-Mail-Verschlüsselung

Physische Smartcards sind so konzipiert, dass sie private Schlüssel enthalten, die für die Verschlüsselung und Entschlüsselung von E-Mails verwendet werden können. Diese Funktion ist auch in virtuellen Smartcards vorhanden. Durch die Verwendung von S/MIME mit dem öffentlichen Schlüssel eines Benutzers zum Verschlüsseln von E-Mails kann der Absender einer E-Mail sicher sein, dass nur die Person mit dem entsprechenden privaten Schlüssel die E-Mail entschlüsseln kann. Diese Zusicherung ist das Ergebnis der Nicht-Exportierbarkeit des privaten Schlüssels. Es ist nie in Reichweite von Schadsoftware vorhanden und bleibt durch das TPM geschützt – auch während der Entschlüsselung.

BitLocker für Datenvolumes

Die sBitLocker-Laufwerkverschlüsselungstechnologie verwendet die Verschlüsselung mit symmetrischen Schlüsseln, um den Inhalt der Festplatte eines Benutzers zu schützen. Dadurch wird sichergestellt, dass ein Angreifer keine Daten vom Laufwerk lesen kann, wenn der physische Besitz einer Festplatte kompromittiert wird. Der Schlüssel, der zum Verschlüsseln des Laufwerks verwendet wird, kann in einer virtuellen Smartcard gespeichert werden, was die Kenntnis der virtuellen Smartcard-PIN erfordert, um auf das Laufwerk und den Besitz des Computers zuzugreifen, auf dem die virtuelle TPM-Smartcard gehostet wird. Wenn das Laufwerk ohne Zugriff auf das TPM abgerufen wird, das die virtuelle Smartcard hostet, ist jeder Brute-Force-Angriff sehr schwierig.

BitLocker kann auch verwendet werden, um tragbare Laufwerke zu verschlüsseln, was das Speichern von Schlüsseln in virtuellen Smartcards umfasst. In diesem Szenario (im Gegensatz zur Verwendung von BitLocker mit einer physischen Smartcard) kann das verschlüsselte Laufwerk nur verwendet werden, wenn es mit dem Host für die virtuelle Smartcard verbunden ist, die zum Verschlüsseln des Laufwerks verwendet wird, da der BitLocker-Schlüssel nur von diesem Computer aus zugänglich ist. Diese Methode kann jedoch nützlich sein, um die Sicherheit von Sicherungslaufwerken und persönlichen Speicher zu gewährleisten, die außerhalb der Hauptfestplatte verwendet werden.

Anwendungsfall "Datenintegrität"

Signieren von Daten

Um die Erstellung von Daten zu überprüfen, kann ein Benutzer sie mit einem privaten Schlüssel signieren, der auf der virtuellen Smartcard gespeichert ist. Digitale Signaturen bestätigen die Integrität und den Ursprung der Daten. Wenn der Schlüssel in einem Betriebssystem gespeichert ist, auf das zugegriffen werden kann, kann ein böswilliger Benutzer darauf zugreifen und ihn verwenden, um bereits signierte Daten zu ändern oder die Identität des Schlüsselbesitzers zu spoofen. Wenn dieser Schlüssel jedoch in einer virtuellen Smartcard gespeichert ist, kann er nur zum Signieren von Daten auf dem Hostcomputer verwendet werden. Es kann nicht in andere Systeme exportiert werden (absichtlich oder unbeabsichtigt, z. B. mit Malware-Diebstahl). Dies macht digitale Signaturen weitaus sicherer als andere Methoden für die Speicherung privater Schlüssel.

Neue und geänderte Funktionalität ab Windows 8.1

Verbesserungen in Windows 8.1 es Entwicklern ermöglicht, Microsoft Store-Apps zum Erstellen und Verwalten virtueller Smartcards zu erstellen.

Das DCOM Interfaces for Trusted Platform Module (TPM) Virtual Smartcard-Geräteverwaltungsprotokoll stellt eine DCOM-Remoteprotokollschnittstelle (Distributed Component Object Model) bereit, die zum Erstellen und Zerstören virtueller Smartcards verwendet wird. Eine virtuelle Smartcard ist ein Gerät, das eine Geräteschnittstelle darstellt, die der PC/SC-Spezifikation für pc-verbundene Schnittstellengeräte für seine Hostbetriebssystem-Plattform entspricht. Dieses Protokoll geht nicht von der zugrunde liegenden Implementierung virtueller Smartcard-Geräte aus. Insbesondere ist es in erster Linie für die Verwaltung virtueller Smartcards vorgesehen, die auf TPMs basieren, kann aber auch zur Verwaltung anderer Arten von virtuellen Smartcards verwendet werden.

Welchen Nutzen bietet diese Änderung?

Ab Windows 8.1 können Anwendungsentwickler die folgenden Wartungsfunktionen für virtuelle Smartcards in ihre Apps integrieren, um einen Teil ihres Verwaltungsaufwands zu verringern.

  • Erstellen Sie eine neue virtuelle Smartcard, oder wählen Sie eine virtuelle Smartcard aus der Liste der verfügbaren virtuellen Smartcards im System aus. Identifizieren Sie das, mit dem die Anwendung zusammenarbeiten soll.

  • Personalisieren Sie die virtuelle Smartcard.

  • Ändern Sie den Administratorschlüssel.

  • Diversifizieren Sie den Administratorschlüssel, der es dem Benutzer ermöglicht, die PIN in einem Pin-blockierten Szenario aufzuheben.

  • Ändern Sie die PIN.

  • Setzen Sie die PIN zurück oder heben Sie die Blockierung auf.

  • Zerstören Sie die virtuelle Smartcard.

Worin bestehen die Unterschiede?

Ab Windows 8.1 können Entwickler von Microsoft Store-Apps Apps erstellen, die den Benutzer zum Zurücksetzen oder Aufheben der Blockierung und Änderung einer virtuellen Smartcard-PIN auffordern können. Dadurch wird dem Benutzer mehr Verantwortung für die Verwaltung seiner virtuellen Smartcards zugewiesen, aber es kann auch eine konsistentere Benutzererfahrung und Verwaltungserfahrung in Ihrer Organisation bieten.

Weitere Informationen zum Entwickeln von Microsoft Store-Apps mit diesen Funktionen finden Sie unter Trusted Platform Module Virtual Smartcard Management Protocol.

Weitere Informationen zum Verwalten dieser Funktionen in virtuellen Smartcards finden Sie unter Grundlegendes und Auswerten virtueller Smartcards.

Hardwareanforderungen

Um die virtuelle Smartcardtechnologie verwenden zu können, ist TPM 1.2 für Computer mit Windows 10 oder Windows Server 2016 mindestens erforderlich.

Softwareanforderungen

Um die virtuelle Smartcard-Technologie verwenden zu können, muss auf computern eines der folgenden Betriebssysteme ausgeführt werden:

  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows 10
  • Windows8.1
  • Windows 8

Weitere Informationen