Verwenden virtueller Smartcards
Warnung
Windows Hello for Business und FIDO2-Sicherheitsschlüssel sind moderne zweistufige Authentifizierungsmethoden für Windows. Kunden, die virtuelle Smartcards verwenden, werden empfohlen, zu Windows Hello for Business oder FIDO2 zu wechseln. Für neue Windows-Installationen empfehlen wir Windows Hello for Business oder FIDO2-Sicherheitsschlüssel.
Erfahren Sie mehr über die Anforderungen an virtuelle Smartcards und deren Verwendung und Verwaltung.
Anforderungen, Einschränkungen und Einschränkungen
| Bereich | Anforderungen und Details |
|---|---|
| Unterstütztes Tpm (Trusted Platform Module) | Jedes TPM, das den TPM-Standard Spezifikationen für Version 1.2 oder Version 2.0 (wie von der Trusted Computing Group festgelegt) entspricht, wird für die Verwendung als virtuelle intelligente Karte unterstützt. Weitere Informationen finden Sie in der TPM-Hauptspezifikation. |
| Unterstützte virtuelle Smartcards pro Computer | Zehn Smartcards können gleichzeitig mit einem Computer oder Gerät verbunden werden. Dies schließt physische und virtuelle Smartcards zusammen. Hinweis Sie können mehr als eine virtuelle intelligente Karte erstellen. Nachdem Sie jedoch mehr als vier virtuelle Smartcards erstellt haben, können Sie eine Leistungsbeeinträchtigung bemerken. Da alle Smartcards so aussehen, als wären sie immer eingefügt, kann jede Person, wenn mehrere Personen einen Computer oder ein Gerät gemeinsam verwenden, alle virtuellen Smartcards sehen, die auf diesem Computer oder Gerät erstellt wurden. Wenn der Benutzer die PIN-Werte für alle virtuellen Smartcards kennt, kann er diese auch verwenden. |
| Unterstützte Anzahl von Zertifikaten auf einem virtuellen intelligenten Karte | Ein einzelnes virtuelles TPM-Karte kann 30 verschiedene Zertifikate mit den entsprechenden privaten Schlüsseln enthalten. Benutzer können Zertifikate auf dem Karte verlängern, bis die Gesamtzahl der Zertifikate auf einem Karte 90 überschreitet. Der Grund dafür, dass sich die Gesamtzahl der Zertifikate von der Gesamtzahl privater Schlüssel unterscheidet, ist, dass die Verlängerung manchmal mit demselben privaten Schlüssel durchgeführt werden kann. In diesem Fall wird kein neuer privater Schlüssel generiert. |
| Anforderungen an PIN, PIN Unlock Key (PUK) und Administrative Schlüssel | Pin und PUK müssen mindestens acht Zeichen umfassen, die Ziffern, Alphabetzeichen und Sonderzeichen enthalten können. Der Verwaltungsschlüssel muss als 48 Hexadezimalzeichen eingegeben werden. Es handelt sich um eine 3-Schlüssel-Triple-DES mit ISO/IEC 9797-Auffüllungsmethode 2 im CBC-Verkettungsmodus. |
Verwenden von Tpmvscmgr.exe
Zum Erstellen und Löschen virtueller TPM-Smartcards für Endbenutzer ist das Befehlszeilentool Tpmvscmgr als Befehlszeilentool im Betriebssystem enthalten. Sie können die Parameter Create und Delete verwenden, um virtuelle Smartcards auf lokalen oder Remotecomputern zu verwalten. Informationen zur Verwendung dieses Tools finden Sie unter Tpmvscmgr.
Programmgesteuertes Erstellen und Löschen virtueller Smartcards
Virtuelle Smartcards können auch mithilfe von APIs erstellt und gelöscht werden. Weitere Informationen finden Sie unter den folgenden Klassen und Schnittstellen:
- TpmVirtualSmartCardManager
- RemoteTpmVirtualSmartCardManager
- ITpmVirtualSmartCardManager
- ITPMVirtualSmartCardManagerStatusCallBack
Sie können APIs im Windows.Device.SmartCards -Namespace verwenden, um Microsoft Store-Apps zu erstellen, um den gesamten Lebenszyklus virtueller Smartcards zu verwalten. Informationen zum Erstellen einer App finden Sie unter Starke Authentifizierung: Erstellen von Apps, die virtuelle Smartcards in Unternehmens-, BYOD- und Consumerumgebungen nutzen.
In der folgenden Tabelle werden die Features beschrieben, die in einer Microsoft Store-App entwickelt werden können:
| Feature | Physische Smartcard | Virtuelle Smartcards |
|---|---|---|
| Abfragen und Überwachen von Lesern für intelligente Karte | Ja | Ja |
| Auflisten verfügbarer Smartcards in einem Reader und Abrufen des Karte Namens und Karte ID | Ja | Ja |
| Überprüfen, ob der Verwaltungsschlüssel eines Karte richtig ist | Ja | Ja |
| Bereitstellen (oder Neuformatieren) eines Karte mit einer angegebenen Karte-ID | Ja | Ja |
| Ändern Sie die PIN, indem Sie die alte PIN eingeben und eine neue PIN angeben. | Ja | Ja |
| Ändern des Verwaltungsschlüssels, Zurücksetzen der PIN oder Aufheben der Blockierung des intelligenten Karte mithilfe einer Challenge/Response-Methode | Ja | Ja |
| Erstellen einer virtuellen Smartcard | Nicht zutreffend | Ja |
| Löschen eines virtuellen intelligenten Karte | Nicht zutreffend | Ja |
| Festlegen von PIN-Richtlinien | Nein | Ja |
Weitere Informationen zu diesen Windows-APIs finden Sie unter:
- Windows.Devices.SmartCards-Namespace (Windows)
- Windows.Security.Cryptography.Certificates-Namespace (Windows)
Unterscheiden von TPM-basierten virtuellen Smartcards von physischen Smartcards
Damit Benutzer ein auf Trusted Platform Module (TPM) basierendes virtuelles smartes Karte von physischen Smartcards visuell unterscheiden können, weist die virtuelle intelligente Karte ein anderes Symbol auf. Das Symbol 
für virtuelle intelligente Karte wird während der Anmeldung und auf anderen Bildschirmen angezeigt, auf denen der Benutzer die PIN für eine virtuelle intelligente Karte eingeben muss.
Ein TPM-basiertes virtuelles intelligentes Karte wird auf der Benutzeroberfläche als Sicherheitsgerät bezeichnet.
Ändern der PIN
Die PIN für eine virtuelle intelligente Karte kann mithilfe der folgenden Schritte geändert werden:
- Melden Sie sich mit der alten PIN oder dem alten Kennwort an.
- Drücken Sie STRG+ALT ENTF+, und wählen Sie Kennwort ändern aus.
- Wählen Sie Anmeldeoptionen aus.
- Wählen Sie das Symbol für virtuelle intelligente Karte aus.
- Eingeben und Bestätigen der neuen PIN
Beheben von Problemen
TPM nicht bereitgestellt
Damit ein TPM-basiertes virtuelles intelligentes Karte ordnungsgemäß funktioniert, muss ein bereitgestelltes TPM auf dem Computer verfügbar sein:
- Wenn das TPM im BIOS deaktiviert ist oder nicht mit dem vollständigen Besitz und dem Speicherstammschlüssel bereitgestellt wird, schlägt die Erstellung des virtuellen TPM-Karte fehl.
- Wenn das TPM nach dem Erstellen eines virtuellen intelligenten Karte initialisiert wird, funktioniert das Karte nicht mehr und muss neu erstellt werden.
- Wenn das Betriebssystem neu installiert wird, sind virtuelle TPM-Smartcards nicht mehr verfügbar und müssen neu erstellt werden.
- Wenn das Betriebssystem aktualisiert wird, sind frühere virtuelle TPM-Smartcards für die Verwendung im aktualisierten Betriebssystem verfügbar.
TPM im Sperrzustand
Manchmal wechselt das TPM aufgrund häufiger falscher PIN-Versuche eines Benutzers in den Sperrzustand. Um die Verwendung des virtuellen intelligenten TPM-Karte fortzusetzen, ist es erforderlich, die Sperre für das TPM mithilfe des Kennworts des Besitzers zurückzusetzen oder auf das Ablaufen der Sperre zu warten. Durch das Aufheben der Blockierung der Benutzer-PIN wird die Sperre im TPM nicht zurückgesetzt. Wenn sich das TPM in der Sperrung befindet, wird die virtuelle TPM-Karte so angezeigt, als wäre es blockiert. Wenn das TPM in den Sperrzustand wechselt, weil der Benutzer zu oft eine falsche PIN eingegeben hat, kann es erforderlich sein, die Benutzer-PIN mithilfe der virtuellen intelligenten Karte-Verwaltungstools wie dem Tpmvscmgr-Befehlszeilentool zurückzusetzen.
Weitere Informationen
Informationen zu Anwendungsfällen für Authentifizierung, Vertraulichkeit und Datenintegrität finden Sie unter Übersicht über virtuelle Smartcards.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für