Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Warning
les clés de sécurité Windows Hello Entreprise et FIDO2 sont des méthodes d’authentification à deux facteurs modernes pour Windows. Les clients qui utilisent des cartes à puce virtuelles sont encouragés à passer à Windows Hello Entreprise ou FIDO2. Pour les nouvelles installations Windows, nous vous recommandons d’Windows Hello Entreprise ou de clés de sécurité FIDO2.
Cet article fournit une vue d’ensemble de la technologie de carte intelligente virtuelle.
Description des fonctionnalités
La technologie de carte intelligente virtuelle offre des avantages de sécurité comparables aux cartes à puce physiques en utilisant l’authentification à deux facteurs. Les cartes à puce virtuelles émulent les fonctionnalités des cartes à puce physiques, mais elles utilisent la puce module de plateforme sécurisée (TPM) disponible sur les appareils. Les cartes à puce virtuelles ne nécessitent pas l’utilisation d’un carte et d’un lecteur intelligents physiques distincts. Vous créez des cartes à puce virtuelles dans le module TPM, où les clés utilisées pour l’authentification sont stockées dans du matériel sécurisé par chiffrement.
En utilisant des appareils TPM qui fournissent les mêmes fonctionnalités de chiffrement que les cartes à puce physiques, les cartes à puce virtuelles accomplissent les trois propriétés clés souhaitées pour les cartes à puce : la non-exportabilité, le chiffrement isolé et l’anti-marteau.
Cas pratiques
Les cartes à puce virtuelles sont fonctionnellement similaires aux cartes à puce physiques, qui apparaissent dans Windows sous forme de cartes à puce qui sont toujours insérées. Les cartes à puce virtuelles peuvent être utilisées pour l’authentification auprès de ressources externes, la protection des données par chiffrement et l’intégrité par la signature. Vous pouvez déployer des cartes à puce virtuelles à l’aide de méthodes internes ou d’une solution achetée, et elles peuvent remplacer d’autres méthodes d’authentification forte dans un environnement d’entreprise de n’importe quelle échelle.
Cas d’usage de l’authentification
Authentification à deux facteurs\u2012-base d’accès à distance
Une fois qu’un utilisateur dispose d’un carte intelligent virtuel TPM entièrement fonctionnel, approvisionné avec un certificat de connexion, le certificat est utilisé pour obtenir un accès authentifié aux ressources d’entreprise. Lorsque le certificat approprié est approvisionné sur le carte virtuel, l’utilisateur doit uniquement fournir le code confidentiel pour le carte intelligent virtuel, comme s’il s’agissait d’un carte intelligent physique, pour se connecter au domaine.
Dans la pratique, il est aussi simple que d’entrer un mot de passe pour accéder au système. Techniquement, c’est beaucoup plus sécurisé. L’utilisation de la carte intelligente virtuelle pour accéder au système prouve au domaine que l’utilisateur qui demande l’authentification a la possession de l’ordinateur personnel sur lequel le carte a été approvisionné et connaît le code confidentiel du carte intelligent virtuel. Étant donné que cette demande n’aurait pas pu provenir d’un système autre que le système certifié par le domaine pour l’accès de cet utilisateur, et que l’utilisateur n’aurait pas pu lancer la demande sans connaître le code confidentiel, une authentification forte à deux facteurs est établie.
Authentification du client
Les cartes à puce virtuelles peuvent également être utilisées pour l’authentification du client à l’aide de TLS/SSL ou d’une technologie similaire. À l’instar de l’accès au domaine avec un carte intelligent virtuel, un certificat d’authentification peut être provisionné pour le carte intelligent virtuel, fourni à un service distant, comme demandé dans le processus d’authentification du client. Cela respecte les principes de l’authentification à deux facteurs, car le certificat n’est accessible qu’à partir de l’ordinateur qui héberge le carte intelligent virtuel, et l’utilisateur doit entrer le code confidentiel pour l’accès initial au carte.
Redirection carte intelligente virtuelle pour les connexions Bureau à distance
Le concept d’authentification à deux facteurs associé aux cartes à puce virtuelles repose sur la proximité des utilisateurs aux appareils qu’ils utilisent pour accéder au domaine. Lorsque vous vous connectez à un appareil qui héberge des cartes à puce virtuelles, vous ne pouvez pas utiliser les cartes à puce virtuelles situées sur l’appareil distant pendant la session à distance. Toutefois, vous pouvez accéder aux cartes à puce virtuelles sur l’appareil de connexion (qui est sous votre contrôle physique), qui sont chargées sur l’appareil distant. Vous pouvez utiliser les cartes à puce virtuelles comme si elles avaient été installées à l’aide du TPM des appareils distants, en étendant vos privilèges à l’appareil distant, tout en conservant les principes de l’authentification à deux facteurs.
Cas d’usage de confidentialité
Chiffrement du courrier électronique S/MIME
Les cartes à puce physiques sont conçues pour contenir des clés privées. Vous pouvez utiliser les clés privées pour le chiffrement et le déchiffrement des e-mails. La même fonctionnalité existe dans les cartes à puce virtuelles. En utilisant S/MIME avec la clé publique d’un utilisateur pour chiffrer les e-mails, l’expéditeur d’un e-mail est assuré que seule la personne disposant de la clé privée correspondante peut déchiffrer l’e-mail. Cette assurance est le résultat de la non-exportabilité de la clé privée. Il n’existe jamais à la portée des logiciels malveillants, et il reste protégé par le TPM, même pendant le déchiffrement.
BitLocker pour les volumes de données
La technologie de chiffrement de lecteur BitLocker utilise le chiffrement à clé symétrique pour protéger le contenu du disque dur d’un utilisateur. BitLocker garantit que si la propriété physique d’un disque dur est compromise, un adversaire ne pourra pas lire les données à partir du lecteur. La clé utilisée pour chiffrer le lecteur peut être stockée dans un carte intelligent virtuel, ce qui nécessite la connaissance du code confidentiel carte virtuel pour accéder au lecteur et la possession de l’appareil qui héberge le carte intelligent virtuel du module de plateforme sécurisée. Si le lecteur est obtenu sans accès au TPM qui héberge le carte intelligent virtuel, toute attaque par force brute sera difficile.
Vous pouvez utiliser BitLocker pour chiffrer les lecteurs portables, en stockant des clés dans des cartes à puce virtuelles. Dans ce scénario, contrairement à l’utilisation de BitLocker avec un carte intelligent physique, le lecteur chiffré ne peut être utilisé que lorsqu’il est connecté à l’appareil pour le carte intelligent virtuel utilisé pour chiffrer le lecteur, car la clé BitLocker n’est accessible qu’à partir de l’appareil. Cette méthode peut être utile pour garantir la sécurité des lecteurs de sauvegarde et des utilisations du stockage personnel en dehors du disque dur main également.
Cas d’usage de l’intégrité des données
Données de signature
Pour vérifier l’auteur des données, un utilisateur peut les signer à l’aide d’une clé privée stockée dans le carte intelligent virtuel. Les signatures numériques confirment l’intégrité et l’origine des données.
- En stockant la clé dans un système d’exploitation accessible, des utilisateurs malveillants pouvaient y accéder et l’utiliser pour modifier des données déjà signées ou usurper l’identité du propriétaire de la clé
- Le stockage de la clé dans un carte intelligent virtuel signifie que vous pouvez uniquement l’utiliser pour signer des données sur l’appareil hôte. Vous ne pouvez pas exporter la clé vers d’autres systèmes (intentionnellement ou involontairement, comme avec le vol de logiciels malveillants), ce qui rend les signatures numériques plus sécurisées que d’autres méthodes de stockage de clés privées
Configuration matérielle requise
Pour utiliser la technologie de carte intelligente virtuelle, TPM 1.2 est le minimum requis pour les appareils exécutant un système d’exploitation pris en charge.