Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Warning
Windows Hello for Business e le chiavi di sicurezza FIDO2 sono metodi moderni di autenticazione a due fattori per Windows. I clienti che usano smart card virtuali sono invitati a passare a Windows Hello for Business o FIDO2. Per le nuove installazioni di Windows, è consigliabile Windows Hello for Business o le chiavi di sicurezza FIDO2.
Questo argomento per il professionista IT descrive come configurare un ambiente di test di base per l'uso di smart card virtuali TPM.
Le smart card virtuali sono una tecnologia microsoft che offre vantaggi di sicurezza paragonabili nell'autenticazione a due fattori rispetto alle smart card fisiche. Offrono anche una maggiore praticità per gli utenti e un costo inferiore per le organizzazioni da distribuire. Usando dispositivi TPM (Trusted Platform Module) che offrono le stesse funzionalità di crittografia delle smart card fisiche, le smart card virtuali eseguono le tre proprietà chiave desiderate dalle smart card: non esportabilità, crittografia isolata e anti-martellamento.
Questa procedura dettagliata illustra come configurare un ambiente di test di base per l'uso delle smart card virtuali TPM. Dopo aver completato questa procedura dettagliata, nel computer Windows sarà installata una smart card virtuale funzionale.
Sarà possibile completare questa procedura dettagliata in meno di un'ora, escludendo l'installazione del software e la configurazione del dominio di test.
Procedura dettagliata
- Prerequisiti
- Passaggio 1: Creare il modello di certificato
- Passaggio 2: Creare la smart card virtuale TPM
- Passaggio 3: Registrarsi per il certificato nella smart card virtuale TPM
Importante
Questa configurazione di base è solo a scopo di test. Non è destinato all'uso in un ambiente di produzione.
Prerequisiti
Ecco cosa ti serve:
- Un computer che esegue Windows 10 con un TPM installato e completamente funzionante (versione 1.2 o versione 2.0)
- Un dominio di test a cui è possibile aggiungere il computer elencato in precedenza
- Accesso a un server in tale dominio con un'autorità di certificazione (CA) completamente installata ed in esecuzione
Passaggio 1: Creare il modello di certificato
Nel server di dominio è necessario creare un modello per il certificato richiesto per la smart card virtuale.
Per creare il modello di certificato
- Nel server aprire Microsoft Management Console (MMC). A tale scopo, digitare mmc.exe dal menu Start , fare clic con il pulsante destro del mouse summc.exee scegliere Esegui come amministratore
- SelezionareLo snap-in Aggiungi/Rimuovifile>
- Nell'elenco degli snap-in disponibili selezionare Modelli di certificato e quindi selezionare Aggiungi
- I modelli di certificato si trovano ora nella radice della console in MMC. Fare doppio clic per visualizzare tutti i modelli di certificato disponibili
- Fare clic con il pulsante destro del mouse sul modello di accesso smart card e scegliere Duplica modello
- Nella scheda Compatibilità , in Autorità di certificazione, esaminare la selezione e modificarla, se necessario
- Nella scheda Generale :
- Specificare un nome, ad esempio Accesso alla smart card virtuale TPM
- Impostare il periodo di validità sul valore desiderato
- Nella scheda Gestione richieste :
- Impostare lo scopo su Firma e accesso con smart card
- Selezionare Chiedi conferma all'utente durante la registrazione
- Nella scheda Crittografia :
- Impostare la dimensione minima della chiave su 2048
- Selezionare Richieste deve usare uno dei provider seguenti e quindi selezionare Microsoft Base Smart Card Crypto Provider
- Nella scheda Sicurezza aggiungere il gruppo di sicurezza a cui si vuole concedere l'accesso Alla registrazione . Ad esempio, se si vuole concedere l'accesso a tutti gli utenti, selezionare il gruppo Utenti autenticati e quindi selezionare Registra autorizzazioni per tali utenti
- Selezionare OK per finalizzare le modifiche e creare il nuovo modello. Il nuovo modello dovrebbe ora essere visualizzato nell'elenco dei modelli di certificato
- Selezionare File e quindi Aggiungi/Rimuovi snap-in per aggiungere lo snap-in Autorità di certificazione alla console MMC. Quando viene chiesto quale computer si vuole gestire, selezionare il computer in cui si trova la CA, probabilmente Computer locale
- Nel riquadro sinistro di MMC espandere Autorità di certificazione (locale) e quindi espandere la CA all'interno dell'elenco Autorità di certificazione
- Fare clic con il pulsante destro del mouse su Modelli di certificato, scegliere Nuovo e quindi selezionare Modello di certificato da rilasciare
- Nell'elenco selezionare il nuovo modello creato (Accesso smart card virtuale TPM) e quindi selezionare OK
Nota
La replica del modello in tutti i server può richiedere del tempo e diventare disponibile in questo elenco.
- Dopo la replica del modello, in MMC fare clic con il pulsante destro del mouse nell'elenco Autorità di certificazione, selezionare Tutte le attività e quindi selezionare Arresta servizio. Fare quindi di nuovo clic con il pulsante destro del mouse sul nome della CA, selezionare Tutte le attività e quindi selezionare Avvia servizio.
Passaggio 2: Creare la smart card virtuale TPM
In questo passaggio si crea la smart card virtuale nel computer client usando lo strumento da riga di comando Tpmvscmgr.exe.
Per creare la smart card virtuale TPM
- In un computer aggiunto a un dominio aprire una finestra del prompt dei comandi con credenziali amministrative.
- Al prompt dei comandi digitare quanto segue e quindi premere INVIO:
tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate
In questo modo viene creata una smart card virtuale con il nome TestVSC, si omette la chiave di sblocco e si genera il file system nella scheda. Il PIN è impostato sul valore predefinito, 12345678.
- Attendere alcuni secondi per il completamento del processo. Al termine, Tpmvscmgr.exe fornisce l'ID istanza del dispositivo per la smart card virtuale TPM. Archiviare questo ID per informazioni di riferimento successive perché è necessario per gestire o rimuovere la smart card virtuale. Per richiedere un PIN, invece di /pin predefinito è possibile digitare /pin prompt.
Per altre informazioni sullo strumento da riga di comando Tpmvscmgr, vedere Usare smart card virtuali e Tpmvscmgr.
Passaggio 3: Registrarsi per il certificato nella smart card virtuale TPM
Per poter funzionare completamente, è necessario effettuare il provisioning della smart card virtuale con un certificato di accesso.
Per registrare il certificato
- Aprire la console Certificati digitando certmgr.msc nel menu Start
- Fare clic con il pulsante destro del mouse su Personale, selezionare Tutte le attività e quindi selezionare Richiedi nuovo certificato
- Seguire le richieste e, quando viene offerto un elenco di modelli, selezionare la casella di controllo Accesso smart card virtuale TPM (o qualsiasi altro modello denominato nel passaggio 1)
- Se viene richiesto un dispositivo, selezionare la smart card virtuale Microsoft corrispondente a quella creata nella sezione precedente. Viene visualizzato come Dispositivo di identità (profilo Microsoft)
- Immettere il PIN stabilito quando è stata creata la smart card virtuale TPM e quindi selezionare OK
- Attendere il completamento della registrazione e quindi selezionare Fine
La smart card virtuale può ora essere usata come credenziale alternativa per accedere al dominio. Per verificare che la configurazione della smart card virtuale e la registrazione del certificato siano state completate correttamente, disconnettersi dalla sessione corrente e quindi accedere. Quando si esegue l'accesso, viene visualizzata l'icona per la nuova smart card virtuale TPM nella schermata Desktop protetto (accesso) oppure si viene indirizzati automaticamente alla finestra di dialogo di accesso alla smart card TPM. Selezionare l'icona, immettere il PIN (se necessario) e quindi selezionare OK. Si dovrebbe accedere all'account di dominio.