Referencia técnica de tarjeta inteligente

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

La Referencia técnica de tarjeta inteligente describe la infraestructura de tarjetas inteligentes de Windows para tarjetas inteligentes físicas y cómo funcionan los componentes relacionados con tarjetas inteligentes en Windows. Este documento también contiene información sobre las herramientas que los desarrolladores y administradores de tecnología de la información (TI) pueden usar para solucionar problemas, depurar e implementar la autenticación segura basada en tarjetas inteligentes en la empresa.

Audiencia

En este documento se explica cómo funciona la infraestructura de tarjetas inteligentes de Windows. Para comprender esta información, debe tener conocimientos básicos sobre la infraestructura de clave pública (PKI) y los conceptos de tarjeta inteligente. Este documento está pensado para:

• Desarrolladores, administradores y personal de TI empresariales que planean implementar o usar tarjetas inteligentes en su organización.
• Proveedores de tarjetas inteligentes que escriben minidriveres de tarjeta inteligente o proveedores de credenciales.

¿Qué son las tarjetas inteligentes?

Las tarjetas inteligentes son dispositivos de almacenamiento portátil resistentes a alteraciones que pueden mejorar la seguridad de tareas como autenticar clientes, firmar código, proteger el correo electrónico e iniciar sesión con una cuenta de dominio de Windows.

Las tarjetas inteligentes proporcionan:

• Almacenamiento resistente a alteraciones para proteger claves privadas y otras formas de información personal
• Aislamiento de cálculos críticos para la seguridad que implican autenticación, firmas digitales e intercambio de claves de otras partes del equipo. Estos cálculos se realizan en la tarjeta inteligente
• Portabilidad de credenciales y otra información privada entre equipos en el trabajo, en casa o en el camino

Las tarjetas inteligentes solo se pueden usar para iniciar sesión en cuentas de dominio, no en cuentas locales. Cuando se usa una contraseña para iniciar sesión de forma interactiva en una cuenta de dominio, Windows usa el protocolo Kerberos versión 5 (v5) para la autenticación. Si usa una tarjeta inteligente, el sistema operativo usa la autenticación Kerberos v5 con certificados X.509 v3.

Se introdujeron tarjetas inteligentes virtuales para aliviar la necesidad de una tarjeta inteligente física, el lector de tarjetas inteligentes y la administración asociada de ese hardware.

Advertencia

las claves de seguridad Windows Hello para empresas y FIDO2 son métodos modernos de autenticación en dos fases para Windows. Se recomienda a los clientes que usan tarjetas inteligentes virtuales que pasen a Windows Hello para empresas o FIDO2. En el caso de las nuevas instalaciones de Windows, se recomienda Windows Hello para empresas o las claves de seguridad FIDO2.

En esta referencia técnica

Esta referencia contiene los temas siguientes:

• Funcionamiento del inicio de sesión mediante tarjetas inteligentes en Windows
  • Arquitectura de tarjeta inteligente
  • Enumeración y requisitos de certificados
  • Tarjeta inteligente y Servicios de Escritorio remoto
  • Tarjetas inteligentes para el servicio de Windows
  • Servicio de propagación de certificados
  • Servicio Directiva de extracción de tarjetas inteligentes
• Herramientas y configuración de Tarjeta inteligente
  • Información de depuración de tarjetas inteligentes
  • Directiva de grupo de tarjeta inteligente y configuración de registros
  • Eventos de tarjeta inteligente