Verwenden virtueller Smartcards

In diesem Thema für IT-Experten werden die Anforderungen an virtuelle Smartcards, die Verwendung virtueller Smartcards und Tools beschrieben, die Ihnen beim Erstellen und Verwalten dieser Smartcards zur Verfügung stehen.

Anforderungen, Einschränkungen und Einschränkungen

Bereich Anforderungen und Details
Unterstützte Betriebssysteme Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows 10
Windows8.1
Windows 8
Unterstütztes Tpm (Trusted Platform Module) Jedes TPM, das den TPM-Hauptspezifikationen für Version 1.2 oder Version 2.0 (wie von der Trusted Computing Group festgelegt) entspricht, wird für die Verwendung als virtuelle Smartcard unterstützt. Weitere Informationen finden Sie in der TPM-Hauptspezifikation.
Unterstützte virtuelle Smartcards pro Computer Zehn Smartcards können gleichzeitig mit einem Computer oder Gerät verbunden werden. Dies schließt physische und virtuelle Smartcards zusammen.

Hinweis
Sie können mehrere virtuelle Smartcards erstellen. Nachdem Sie jedoch mehr als vier virtuelle Smartcards erstellt haben, können Sie eine Leistungsbeeinträchtigung bemerken. Da alle Smartcards so aussehen, als ob sie immer eingefügt wurden, kann jede Person, wenn mehrere Personen einen Computer oder ein Gerät gemeinsam verwenden, alle virtuellen Smartcards sehen, die auf diesem Computer oder Gerät erstellt wurden. Wenn der Benutzer die PIN-Werte für alle virtuellen Smartcards kennt, kann er diese auch verwenden.
Unterstützte Anzahl von Zertifikaten auf einer virtuellen Smartcard Eine einzelne virtuelle TPM-Smartcard kann 30 verschiedene Zertifikate mit den entsprechenden privaten Schlüsseln enthalten. Benutzer können Zertifikate auf der Karte so lange verlängern, bis die Gesamtzahl der Zertifikate auf einer Karte 90 überschreitet. Der Grund dafür, dass sich die Gesamtzahl der Zertifikate von der Gesamtzahl privater Schlüssel unterscheidet, ist, dass die Verlängerung manchmal mit demselben privaten Schlüssel durchgeführt werden kann. In diesem Fall wird kein neuer privater Schlüssel generiert.
Anforderungen an PIN, PIN Unlock Key (PUK) und Administrative Schlüssel Pin und PUK müssen mindestens acht Zeichen umfassen, die Ziffern, Alphabetzeichen und Sonderzeichen enthalten können.
Der Verwaltungsschlüssel muss als 48 Hexadezimalzeichen eingegeben werden. Es handelt sich um ein 3-Tasten-Triple-DES mit ISO/IEC 9797-Auffüllungsmethode 2 im CBC-Verkettungsmodus.

Verwenden von Tpmvscmgr.exe

Zum Erstellen und Löschen virtueller TPM-Smartcards für Endbenutzer ist das Befehlszeilentool Tpmvscmgr als Befehlszeilentool im Betriebssystem enthalten. Sie können die Parameter Create und Delete verwenden, um virtuelle Smartcards auf lokalen oder Remotecomputern zu verwalten. Informationen zur Verwendung dieses Tools finden Sie unter Tpmvscmgr.

Programmgesteuertes Erstellen und Löschen virtueller Smartcards

Virtuelle Smartcards können auch mithilfe von APIs erstellt und gelöscht werden. Weitere Informationen finden Sie unter den folgenden Klassen und Schnittstellen:

Sie können APIs verwenden, die im Windows.Device.SmartCards-Namespace in Windows Server 2012 R2 und Windows 8.1 eingeführt wurden, um Microsoft Store-Apps zu erstellen, um den gesamten Lebenszyklus virtueller Smartcards zu verwalten. Informationen zum Erstellen einer App hierzu finden Sie unter Starke Authentifizierung: Erstellen von Apps, die virtuelle Smartcards in Unternehmens-, BYOD- und Consumerumgebungen nutzen | Build 2013 | Kanal 9.

In der folgenden Tabelle werden die Features beschrieben, die in einer Microsoft Store-App entwickelt werden können:

Feature Physische Smartcard Virtuelle Smartcards
Abfragen und Überwachen von Smartcardlesern Ja Ja
Auflisten der verfügbaren Smartcards in einem Leser und Abrufen des Kartennamens und der Karten-ID Ja Ja
Überprüfen, ob der Administrative Schlüssel einer Karte korrekt ist Ja Ja
Bereitstellen (oder Neuformatieren) einer Karte mit einer bestimmten Karten-ID Ja Ja
Ändern Sie die PIN, indem Sie die alte PIN eingeben und eine neue PIN angeben. Ja Ja
Ändern des Verwaltungsschlüssels, Zurücksetzen der PIN oder Aufheben der Blockierung der Smartcard mithilfe einer Challenge/Response-Methode Ja Ja
Erstellen einer virtuellen Smartcard Nicht zutreffend Ja
Löschen einer virtuellen Smartcard Nicht zutreffend Ja
Festlegen von PIN-Richtlinien Nein Ja

Weitere Informationen zu diesen Windows-APIs finden Sie unter:

Unterscheiden von TPM-basierten virtuellen Smartcards von physischen Smartcards

Damit Benutzer eine tpm-basierte virtuelle Smartcard (Trusted Platform Module) von physischen Smartcards visuell unterscheiden können, weist die virtuelle Smartcard ein anderes Symbol auf. Das folgende Symbol wird während der Anmeldung und auf anderen Bildschirmen angezeigt, auf denen der Benutzer die PIN für eine virtuelle Smartcard eingeben muss.

Symbol für eine virtuelle Smartcard.

Eine TPM-basierte virtuelle Smartcard wird auf der Benutzeroberfläche als Sicherheitsgerät bezeichnet.

Ändern der PIN

Die PIN für eine virtuelle Smartcard kann mithilfe der folgenden Schritte geändert werden:

  • Melden Sie sich mit der alten PIN oder dem alten Kennwort an.
  • Drücken Sie STRG+ALT+ENTF, und wählen Sie Kennwort ändern aus.
  • Wählen Sie Anmeldeoptionen aus.
  • Wählen Sie das Symbol für die virtuelle Smartcard aus.
  • Geben Sie die neue PIN ein, und bestätigen Sie sie.

Beheben von Problemen

TPM nicht bereitgestellt

Damit eine TPM-basierte virtuelle Smartcard ordnungsgemäß funktioniert, muss ein bereitgestelltes TPM auf dem Computer verfügbar sein. Wenn das TPM im BIOS deaktiviert ist oder nicht mit dem vollständigen Besitz und dem Speicherstammschlüssel bereitgestellt wird, schlägt die Erstellung der virtuellen TPM-Smartcard fehl.

Wenn das TPM nach dem Erstellen einer virtuellen Smartcard initialisiert wird, funktioniert die Karte nicht mehr und muss neu erstellt werden.

Wenn der TPM-Besitz auf einer Windows Vista-Installation eingerichtet wurde, ist das TPM nicht bereit, virtuelle Smartcards zu verwenden. Der Systemadministrator muss das TPM löschen und initialisieren, damit es für die Erstellung virtueller TPM-Smartcards geeignet ist.

Wenn das Betriebssystem neu installiert wird, sind frühere virtuelle TPM-Smartcards nicht mehr verfügbar und müssen neu erstellt werden. Wenn das Betriebssystem aktualisiert wird, sind frühere virtuelle TPM-Smartcards für die Verwendung im aktualisierten Betriebssystem verfügbar.

TPM im Sperrzustand

Manchmal wechselt das TPM aufgrund häufiger falscher PIN-Versuche eines Benutzers in den Sperrzustand. Um die verwendung der virtuellen TPM-Smartcard fortzusetzen, ist es erforderlich, die Sperre für das TPM mithilfe des Kennworts des Besitzers zurückzusetzen oder auf das Ablaufen der Sperre zu warten. Durch das Aufheben der Blockierung der Benutzer-PIN wird die Sperre im TPM nicht zurückgesetzt. Wenn das TPM gesperrt ist, wird die virtuelle TPM-Smartcard so angezeigt, als wäre sie blockiert. Wenn das TPM in den Sperrzustand wechselt, weil der Benutzer zu oft eine falsche PIN eingegeben hat, kann es erforderlich sein, die Benutzer-PIN mithilfe der verwaltungstools für virtuelle Smartcards wie tpmvscmgr-Befehlszeilentool zurückzusetzen.

Weitere Informationen

Informationen zu Anwendungsfällen für Authentifizierung, Vertraulichkeit und Datenintegrität finden Sie unter Übersicht über virtuelle Smartcards.