Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Advertencia
las claves de seguridad Windows Hello para empresas y FIDO2 son métodos modernos de autenticación en dos fases para Windows. Se recomienda a los clientes que usan tarjetas inteligentes virtuales que pasen a Windows Hello para empresas o FIDO2. En el caso de las nuevas instalaciones de Windows, se recomienda Windows Hello para empresas o las claves de seguridad FIDO2.
En este artículo se proporciona información general sobre la tecnología de tarjetas inteligentes virtuales.
Descripción de la característica
La tecnología de tarjetas inteligentes virtuales ofrece ventajas de seguridad comparables a las tarjetas inteligentes físicas mediante la autenticación en dos fases. Las tarjetas inteligentes virtuales emulan la funcionalidad de las tarjetas inteligentes físicas, pero usan el chip módulo de plataforma segura (TPM) que está disponible en los dispositivos. Las tarjetas inteligentes virtuales no requieren el uso de una tarjeta inteligente física y un lector independientes. Las tarjetas inteligentes virtuales se crean en el TPM, donde las claves usadas para la autenticación se almacenan en hardware protegido criptográficamente.
Mediante el uso de dispositivos TPM que proporcionan las mismas funcionalidades criptográficas que las tarjetas inteligentes físicas, las tarjetas inteligentes virtuales logran las tres propiedades clave que se desean para las tarjetas inteligentes: no exportabilidad, criptografía aislada y anti-martillado.
Aplicaciones prácticas
Las tarjetas inteligentes virtuales son funcionalmente similares a las tarjetas inteligentes físicas, y aparecen en Windows como tarjetas inteligentes que siempre se insertan. Las tarjetas inteligentes virtuales se pueden usar para la autenticación en recursos externos, la protección de datos mediante cifrado y la integridad mediante la firma. Puede implementar tarjetas inteligentes virtuales mediante métodos internos o una solución comprada, y pueden reemplazar otros métodos de autenticación segura en una configuración corporativa de cualquier escala.
Casos de uso de autenticación
Autenticación en dos fases\acceso remoto basado en u2012
Después de que un usuario tenga una tarjeta inteligente virtual tpm totalmente funcional, aprovisionada con un certificado de inicio de sesión, el certificado se usa para obtener acceso autenticado a los recursos corporativos. Cuando se aprovisiona el certificado adecuado en la tarjeta virtual, el usuario solo necesita proporcionar el PIN de la tarjeta inteligente virtual, como si fuera una tarjeta inteligente física, para iniciar sesión en el dominio.
En la práctica, esto es tan fácil como escribir una contraseña para acceder al sistema. Técnicamente, es mucho más seguro. El uso de la tarjeta inteligente virtual para acceder al sistema demuestra al dominio que el usuario que solicita la autenticación tiene posesión del equipo personal en el que se ha aprovisionado la tarjeta y conoce el PIN de la tarjeta inteligente virtual. Dado que esta solicitud no pudo haberse originado posiblemente desde un sistema distinto del sistema certificado por el dominio para el acceso de este usuario y el usuario no pudo haber iniciado la solicitud sin conocer el PIN, se establece una autenticación sólida en dos fases.
Autenticación de cliente
Las tarjetas inteligentes virtuales también se pueden usar para la autenticación de cliente mediante TLS/SSL o una tecnología similar. De forma similar al acceso a dominio con una tarjeta inteligente virtual, se puede aprovisionar un certificado de autenticación para la tarjeta inteligente virtual, que se proporciona a un servicio remoto, tal como se solicita en el proceso de autenticación del cliente. Esto se ajusta a los principios de la autenticación en dos fases porque el certificado solo es accesible desde el equipo que hospeda la tarjeta inteligente virtual y el usuario debe escribir el PIN para el acceso inicial a la tarjeta.
Redirección de tarjetas inteligentes virtuales para conexiones de escritorio remoto
El concepto de autenticación en dos fases asociada a tarjetas inteligentes virtuales se basa en la proximidad de los usuarios a los dispositivos que usan para acceder al dominio. Al conectarse a un dispositivo que hospeda tarjetas inteligentes virtuales, no puede usar las tarjetas inteligentes virtuales ubicadas en el dispositivo remoto durante la sesión remota. Sin embargo, puede acceder a las tarjetas inteligentes virtuales del dispositivo de conexión (que está bajo su control físico), que se cargan en el dispositivo remoto. Puede usar las tarjetas inteligentes virtuales como si estuvieran instaladas mediante el TPM de los dispositivos remotos, ampliando sus privilegios al dispositivo remoto, manteniendo al mismo tiempo los principios de la autenticación en dos fases.
Casos de uso de confidencialidad
Cifrado de correo electrónico S/MIME
Las tarjetas inteligentes físicas están diseñadas para contener claves privadas. Puede usar las claves privadas para el cifrado y descifrado de correo electrónico. La misma funcionalidad existe en las tarjetas inteligentes virtuales. Al usar S/MIME con la clave pública de un usuario para cifrar el correo electrónico, el remitente de un correo electrónico tiene la seguridad de que solo la persona con la clave privada correspondiente puede descifrar el correo electrónico. Esta garantía es el resultado de la no exportabilidad de la clave privada. Nunca existe al alcance de software malintencionado y permanece protegido por el TPM, incluso durante el descifrado.
BitLocker para volúmenes de datos
La tecnología de cifrado de unidad BitLocker usa el cifrado de clave simétrica para proteger el contenido del disco duro de un usuario. BitLocker garantiza que si la propiedad física de un disco duro está en peligro, un adversario no podrá leer datos de la unidad. La clave utilizada para cifrar la unidad se puede almacenar en una tarjeta inteligente virtual, lo que requiere conocimientos del PIN de la tarjeta inteligente virtual para acceder a la unidad y la posesión del dispositivo que hospeda la tarjeta inteligente virtual tpm. Si la unidad se obtiene sin acceso al TPM que hospeda la tarjeta inteligente virtual, cualquier ataque por fuerza bruta será difícil.
Puede usar BitLocker para cifrar unidades portátiles y almacenar claves en tarjetas inteligentes virtuales. En este escenario, a diferencia del uso de BitLocker con una tarjeta inteligente física, la unidad cifrada solo se puede usar cuando está conectada al dispositivo para la tarjeta inteligente virtual que se usa para cifrar la unidad, ya que la clave de BitLocker solo es accesible desde el dispositivo. Este método también puede ser útil para garantizar la seguridad de las unidades de copia de seguridad y los usos de almacenamiento personal fuera del disco duro principal.
Caso de uso de integridad de datos
Datos de firma
Para comprobar la autoría de los datos, un usuario puede firmarlos mediante una clave privada almacenada en la tarjeta inteligente virtual. Las firmas digitales confirman la integridad y el origen de los datos.
- Almacenar la clave en un sistema operativo accesible, los usuarios malintencionados podrían acceder a ella y usarla para modificar los datos ya firmados o para suplantar la identidad del propietario de la clave.
- Almacenar la clave en una tarjeta inteligente virtual significa que solo puede usarla para firmar datos en el dispositivo host. No se puede exportar la clave a otros sistemas (intencionada o involuntariamente, como con el robo de malware), lo que hace que las firmas digitales sean más seguras que otros métodos para el almacenamiento de claves privadas.
Requisitos de hardware
Para usar la tecnología de tarjeta inteligente virtual, TPM 1.2 es el mínimo necesario para los dispositivos que ejecutan un sistema operativo compatible.