Informazioni di riferimento tecniche sulle smart card

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Il riferimento tecnico per le smart card descrive l'infrastruttura delle smart card di Windows per le smart card fisiche e il funzionamento dei componenti correlati alle smart card in Windows. Questo documento contiene anche informazioni sugli strumenti che gli sviluppatori e gli amministratori IT possono usare per risolvere i problemi, eseguire il debug e distribuire l'autenticazione avanzata basata su smart card nell'organizzazione.

Destinatari

Questo documento illustra il funzionamento dell'infrastruttura delle smart card di Windows. Per comprendere queste informazioni, è necessario avere una conoscenza di base dei concetti relativi all'infrastruttura a chiave pubblica (PKI) e alle smart card. Questo documento è destinato a:

• Sviluppatori IT aziendali, manager e personale che stanno pianificando la distribuzione o usano smart card nella propria organizzazione.
• Fornitori di smart card che scrivono minidriver o provider di credenziali per smart card.

Che cosa sono le smart card?

Le smart card sono dispositivi di archiviazione portatili resistenti alle manomissioni che possono migliorare la sicurezza di attività quali l'autenticazione dei client, la firma del codice, la protezione della posta elettronica e l'accesso con un account di dominio Windows.

Le smart card offrono:

• Archiviazione resistente alle manomissioni per la protezione di chiavi private e altre forme di informazioni personali
• Isolamento dei calcoli critici per la sicurezza che implicano l'autenticazione, le firme digitali e lo scambio di chiavi da altre parti del computer. Questi calcoli vengono eseguiti sulla smart card
• Portabilità di credenziali e altre informazioni private tra computer al lavoro, a casa o in viaggio

Le smart card possono essere usate per accedere solo agli account di dominio, non agli account locali. Quando si usa una password per accedere in modo interattivo a un account di dominio, Windows usa il protocollo Kerberos versione 5 (v5) per l'autenticazione. Se si usa una smart card, il sistema operativo usa l'autenticazione Kerberos v5 con certificati X.509 v3.

Le smart card virtuali sono state introdotte per ridurre la necessità di una smart card fisica, del lettore di smart card e dell'amministrazione associata di tale hardware.

Warning

Windows Hello for Business e le chiavi di sicurezza FIDO2 sono metodi moderni di autenticazione a due fattori per Windows. I clienti che usano smart card virtuali sono invitati a passare a Windows Hello for Business o FIDO2. Per le nuove installazioni di Windows, è consigliabile Windows Hello for Business o le chiavi di sicurezza FIDO2.

In questo riferimento tecnico

Questo riferimento contiene gli argomenti seguenti:

• Come funziona l'accesso tramite smart card in Windows
  • Architettura della smart card
  • Requisiti ed enumerazione dei certificati
  • Servizi Desktop remoto e smart card
  • Smart card per il servizio Windows
  • Servizio Propagazione certificati
  • Servizio criteri di rimozione della smart card
• Strumenti e impostazioni delle smart card
  • Informazioni di debug della smart card
  • Impostazioni di Criteri di gruppo e del Registro di sistema per le smart card
  • Eventi delle smart card