Warning
비즈니스용 Windows Hello 및 FIDO2 보안 키는 Windows용 최신 2단계 인증 방법입니다. 가상 스마트 카드를 사용하는 고객은 비즈니스용 Windows Hello 또는 FIDO2로 이동하는 것이 좋습니다. 새 Windows 설치의 경우 비즈니스용 Windows Hello 또는 FIDO2 보안 키를 사용하는 것이 좋습니다.
이 문서에서는 가상 스마트 카드 인증 솔루션을 배포할 때 고려해야 할 요인에 대해 설명합니다.
실제 스마트 카드와 같은 기존 ID 디바이스는 다음 다이어그램과 같이 모든 배포에서 예측 가능한 수명 주기를 따릅니다.
디바이스 제조업체는 물리적 디바이스를 만든 다음 organization 구매하고 배포합니다. 디바이스는 고유한 속성이 설정된 개인 설정 단계를 통과합니다. 스마트 카드에서 이러한 속성은 관리자 키, PIN(개인 식별 번호), PUK(PIN 잠금 해제 키) 및 물리적 모양입니다. 디바이스 프로비저닝 단계에서는 로그인 인증서와 같은 필수 인증서가 설치됩니다. 디바이스를 프로비전하면 사용할 준비가 됩니다. 예를 들어 분실 또는 도난 시 카드를 교체하거나 사용자가 잊어버린 경우 PIN을 재설정할 수 있습니다. 마지막으로, 디바이스가 의도한 수명을 초과하거나 직원이 퇴사할 때 디바이스를 사용 중지합니다.
이 항목에는 가상 스마트 카드 수명 주기의 다음 단계에 대한 정보가 포함되어 있습니다.
가상 스마트 카드 만들기 및 개인 설정
회사에서 배포할 디바이스를 구매합니다. 디바이스는 고유한 속성이 설정된 개인 설정 단계를 통과합니다. 스마트 카드에서 이러한 속성은 관리자 키, PIN(개인 식별 번호), PUK(PIN 잠금 해제 키) 및 물리적 모양입니다. TPM 가상 스마트 카드 대해 제공되는 보안은 호스트 TPM에서 완전히 프로비전됩니다.
신뢰할 수 있는 플랫폼 모듈 준비 상태
TPM 관리 콘솔에서 시작되는 TPM 프로비저닝 마법사는 사용자가 사용할 TPM을 준비하는 모든 단계를 수행합니다.
가상 스마트 카드를 만들 때 TPM에서 다음 작업을 고려합니다.
- 사용 및 활성화: TPM은 여러 디바이스에 기본 제공됩니다. 경우에 따라 BIOS를 통해 TPM을 사용하도록 설정하고 활성화해야 합니다.
- 소유권 가져오기: TPM을 프로비전할 때 나중에 TPM을 관리하기 위한 소유자 암호를 설정하고 스토리지 루트 키를 설정합니다. 가상 스마트 카드에 대한 망치 방지 보호를 제공하려면 사용자 또는 도메인 관리자가 TPM 소유자 암호를 재설정할 수 있어야 합니다. TPM 가상 스마트 카드의 회사 사용을 위해 도메인 관리자는 로컬 레지스트리가 아닌 Active Directory에 저장하여 TPM 소유자 암호에 대한 액세스를 제한해야 합니다. TPM 소유권이 설정되면 TPM을 지우고 다시 초기화해야 합니다.
- 관리: 소유자 암호를 변경하여 가상 스마트 카드 소유권을 관리할 수 있으며 잠금 시간을 다시 설정하여 망치 방지 논리를 관리할 수 있습니다.
TPM은 기능이 축소된 모드로 작동할 수 있으며, 운영 체제에서 사용자가 소유자 암호를 사용할 수 있는지 확인할 수 없는 경우 발생할 수 있습니다. 기능 감소 모드 중에는 TPM을 사용하여 가상 스마트 카드 만들 수 있지만, 예기치 않은 상황에서 사용자가 디바이스 사용을 차단하지 않도록 TPM을 완전히 준비된 상태로 만드는 것이 좋습니다.
TPM 가상 스마트 카드 만들기 전에 TPM 상태 검사 필요한 스마트 카드 배포 관리 도구는 TPM WMI 인터페이스를 사용하여 수행할 수 있습니다.
TPM 가상 스마트 카드를 설치하도록 지정된 디바이스의 설정에 따라 가상 스마트 카드 배포를 계속하기 전에 TPM을 프로비전해야 할 수 있습니다. 프로비저닝에 대한 자세한 내용은 가상 스마트 카드 사용을 참조하세요.
기본 제공 도구를 사용하여 TPM을 관리하는 방법에 대한 자세한 내용은 신뢰할 수 있는 플랫폼 모듈 서비스 그룹 정책 설정을 참조하세요.
만들기
TPM 가상 스마트 카드 TPM을 사용하여 물리적 스마트 카드 하드웨어와 동일한 기능을 제공하는 물리적 스마트 카드 시뮬레이션합니다.
가상 스마트 카드 운영 체제 내에서 항상 삽입되는 물리적 스마트 카드 나타납니다. Windows는 실제 스마트 카드와 동일한 인터페이스를 사용하여 애플리케이션에 가상 스마트 카드 판독기와 가상 스마트 카드 제공합니다. 가상 스마트 카드 메시지를 TPM 명령으로 변환하여 스마트 카드 보안의 세 가지 속성을 통해 가상 스마트 카드 무결성을 보장합니다.
- 내보내기 불가능: 가상 스마트 카드 모든 개인 정보는 호스트 컴퓨터의 TPM을 사용하여 암호화되므로 다른 TPM이 있는 다른 컴퓨터에서는 사용할 수 없습니다. 또한 TPM은 변조 방지 및 내보낼 수 없도록 설계되었기 때문에 악의적인 사용자는 동일한 TPM을 리버스 엔지니어링하거나 다른 컴퓨터에 동일한 TPM을 설치할 수 없습니다. 자세한 내용은 가상 스마트 카드 보안 평가를 참조하세요.
- 격리된 암호화: TPM은 가상 스마트 카드에서 활용하는 물리적 스마트 카드에서 제공하는 격리된 암호화의 동일한 속성을 제공합니다. 암호화되지 않은 프라이빗 키 복사본은 TPM 내에서만 로드되고 운영 체제에서 액세스할 수 있는 메모리에 로드되지 않습니다. 이러한 프라이빗 키를 사용하는 모든 암호화 작업은 TPM 내에서 발생합니다.
- 망치 방지: 사용자가 PIN을 잘못 입력하면 가상 스마트 카드 TPM의 망치 방지 논리를 사용하여 응답합니다. 이 논리는 카드 차단하는 대신 일정 시간 동안 추가 시도를 거부합니다. 이를 잠금이라고도 합니다. 자세한 내용은 차단된 가상 스마트 카드 및 가상 스마트 카드 보안 평가를 참조하세요.
organization 배포의 크기와 예산에 따라 가상 스마트 카드를 만드는 몇 가지 옵션이 있습니다. 가장 낮은 비용 옵션은 를 사용하여 tpmvscmgr.exe 사용자의 컴퓨터에 개별적으로 카드를 만드는 것입니다. 또는 가상 스마트 카드 관리 솔루션을 구입하여 더 큰 규모로 가상 스마트 카드 만들기를 보다 쉽게 수행하고 추가 배포 단계를 지원할 수 있습니다. 가상 스마트 카드는 직원을 위해 프로비전할 컴퓨터 또는 이미 직원이 소유하고 있는 컴퓨터에서 만들 수 있습니다. 두 방법 중 하나에서 개인 설정 및 프로비저닝에 대한 몇 가지 중앙 제어가 있어야 합니다. 컴퓨터가 여러 직원이 사용하려는 경우 컴퓨터에 여러 개의 가상 스마트 카드를 만들 수 있습니다.
TPM 가상 스마트 카드 명령줄 도구에 대한 자세한 내용은 Tpmvscmgr을 참조하세요.
Personalization
가상 스마트 카드 개인 설정 중에 관리자 키, PIN 및 PUK에 대한 값이 할당됩니다. 물리적 카드 마찬가지로 관리자 키를 아는 것은 PIN을 다시 설정하거나 나중에 카드 삭제하는 데 중요합니다. (PUK를 설정한 경우 관리자 키를 사용하여 PIN을 다시 설정할 수 없습니다.)
관리자 키는 카드 보안에 중요하므로 배포 환경을 고려하고 적절한 관리자 키 설정 전략을 결정하는 것이 중요합니다. 이러한 전략에 대한 옵션은 다음과 같습니다.
- 균일: organization 배포된 모든 가상 스마트 카드에 대한 관리자 키는 동일합니다. 동일한 키를 사용하면 유지 관리 인프라를 쉽게 만들 수 있지만(하나의 키만 저장해야 합니다) 매우 안전하지 않습니다. 이 전략은 소규모 조직에 충분할 수 있지만 관리자 키가 손상된 경우 키를 사용하는 모든 가상 스마트 카드를 재발행해야 합니다.
- 임의, 저장되지 않음: 관리자 키는 모든 가상 스마트 카드에 대해 임의로 할당되며 기록되지 않습니다. 배포 관리자가 PIN을 재설정할 수 있는 기능이 필요하지 않고 대신 가상 스마트 카드를 삭제하고 다시 발급하는 것을 선호하는 경우 유효한 옵션입니다. 관리자가 가상 스마트 카드에 대한 PUK 값을 설정한 다음, 필요한 경우 이 값을 사용하여 PIN을 다시 설정하는 것을 선호하는 경우 이는 실행 가능한 전략입니다.
- 임의, 저장: 관리자 키를 임의로 할당하여 중앙 위치에 저장합니다. 각 카드 보안은 다른 보안과 독립적입니다. 관리자 키 데이터베이스가 손상되지 않는 한 대규모 보안 전략입니다.
- 결정적: 관리자 키는 일부 함수 또는 알려진 정보의 결과입니다. 예를 들어 사용자 ID를 사용하여 암호를 사용하여 대칭 암호화 알고리즘을 통해 추가로 처리할 수 있는 데이터를 임의로 생성할 수 있습니다. 이 관리자 키는 필요할 때 유사하게 다시 생성될 수 있으며 저장할 필요가 없습니다. 이 메서드의 보안은 사용되는 비밀의 보안에 의존합니다.
PUK 및 관리자 키 방법론은 잠금 해제 및 초기화 기능을 제공하지만 다양한 방식으로 작동합니다. PUK는 사용자 PIN 재설정을 사용하도록 설정하기 위해 컴퓨터에 입력된 PIN입니다.
관리자 키 방법론은 챌린지-응답 접근 방식을 취합니다. 카드 사용자가 배포 관리자에게 ID를 확인한 후 임의 데이터 집합을 제공합니다. 그런 다음 관리자는 관리자 키를 사용하여 데이터를 암호화하고 암호화된 데이터를 사용자에게 다시 제공합니다. 암호화된 데이터가 확인 중에 카드 생성된 데이터와 일치하는 경우 카드 PIN 재설정을 허용합니다. 관리자 키는 배포 관리자 이외의 다른 사람이 액세스할 수 없으므로 다른 당사자(직원 포함)가 가로채거나 기록할 수 없습니다. 이는 개인 설정 프로세스 중에 중요한 고려 사항인 PUK를 사용하는 것 이상의 상당한 보안 이점을 제공합니다.
TPM 가상 스마트 카드는 Tpmvscmgr 명령줄 도구를 사용하여 만들 때 개별적으로 개인 설정할 수 있습니다. 또는 조직은 개인 설정을 자동화된 루틴에 통합할 수 있는 관리 솔루션을 구매할 수 있습니다. 이러한 솔루션의 또 다른 장점은 관리자 키를 자동으로 만드는 것입니다. Tpmvscmgr.exe 사용자가 가상 스마트 카드의 보안에 해가 될 수 있는 자체 관리자 키를 만들 수 있습니다.
가상 스마트 카드 프로비전
프로비전은 TPM 가상 스마트 카드 특정 자격 증명을 로드하는 프로세스입니다. 이러한 자격 증명은 도메인 로그인과 같은 특정 서비스에 대한 액세스 권한을 사용자에게 부여하기 위해 만들어진 인증서로 구성됩니다. 각 가상 스마트 카드 최대 30개의 인증서가 허용됩니다. 실제 스마트 카드와 마찬가지로 배포 환경 및 원하는 보안 수준에 따라 프로비전 전략에 대해 몇 가지 결정을 내려야 합니다.
높은 수준의 보안 프로비저닝을 위해서는 인증서를 받는 개인의 ID에 대한 절대적인 확신이 필요합니다. 따라서 높은 보증 프로비저닝의 한 가지 방법은 이전에 프로비전된 강력한 자격 증명(예: 물리적 스마트 카드)을 활용하여 프로비전 중에 ID의 유효성을 검사하는 것입니다. 개인이 여권이나 운전 면허증으로 자신의 신원을 쉽고 안전하게 증명할 수 있기 때문에 등록 스테이션에서 직접 교정하는 것은 또 다른 옵션입니다. 비슷한 수준의 보증을 달성하기 위해 대규모 organization "대신 등록" 전략을 구현할 수 있습니다. 이 전략은 직원이 자신의 ID를 개인적으로 확인할 수 있는 상사에 의해 자격 증명으로 등록됩니다. 이렇게 하면 단일 중앙 등록 스테이션에서 모든 가상 스마트 카드를 프로비전하는 관리 부담 없이 개인이 제안된 ID에 대해 직접 체크 인되도록 하는 신뢰 체인이 만들어집니다.
높은 보증 수준이 주요 관심사가 아닌 배포의 경우 셀프 서비스 솔루션을 사용할 수 있습니다. 여기에는 온라인 포털을 사용하여 자격 증명을 가져오거나 배포에 따라 인증서 관리자를 사용하여 인증서에 등록하는 것이 포함될 수 있습니다. 가상 스마트 카드 인증은 프로비저닝 방법만큼 강력합니다. 예를 들어 약한 도메인 자격 증명(예: 암호만)을 사용하여 인증 인증서를 요청하는 경우 가상 스마트 카드 인증은 암호만 사용하는 것과 동일하며 2단계 인증의 이점은 손실됩니다.
인증서 관리자를 사용하여 가상 스마트 카드를 구성하는 방법에 대한 자세한 내용은 가상 스마트 카드 시작: 연습 가이드를 참조하세요.
높은 보증 및 셀프 서비스 솔루션은 가상 스마트 카드 배포 전에 사용자의 컴퓨터가 발급되었다고 가정하여 가상 스마트 카드 프로비저닝에 접근하지만 항상 그런 것은 아닙니다. 가상 스마트 카드가 새 컴퓨터와 함께 배포되는 경우 사용자가 해당 컴퓨터와 접촉하기 전에 컴퓨터에서 생성, 개인 설정 및 프로비전할 수 있습니다.
이 경우 프로비전은 비교적 간단해지지만 컴퓨터 수신자가 프로비전 중에 예상한 개인인지 확인하기 위해 ID 검사를 수행해야 합니다. 이 작업은 직원이 배포 관리자 또는 관리자의 감독 하에 초기 PIN을 설정하도록 요구하여 수행할 수 있습니다.
컴퓨터를 프로비전할 때 가상 스마트 카드에 제공되는 자격 증명의 수명도 고려해야 합니다. 이 선택은 organization 위험 임계값을 기반으로 해야 합니다. 수명이 긴 자격 증명은 더 편리하지만 수명 기간 동안 손상될 가능성이 더 높습니다. 자격 증명에 대한 적절한 수명을 결정하려면 배포 전략은 암호화의 취약성(자격 증명을 해독하는 데 걸리는 시간) 및 공격 가능성을 고려해야 합니다.
손상된 가상 스마트 카드의 경우 관리자는 분실하거나 도난당한 노트북과 마찬가지로 연결된 자격 증명을 해지할 수 있어야 합니다. 자격 증명을 취소하려면 어떤 자격 증명이 어떤 사용자 및 디바이스와 일치하는지 기록해야 하지만 Windows에는 기본적으로 기능이 존재하지 않습니다. 배포 관리자는 레코드를 유지하기 위해 추가 기능 솔루션을 고려할 수 있습니다.
회사 액세스에 사용되는 소비자 디바이스의 가상 스마트 카드
직원이 가상 스마트 카드를 프로비전하고 사용자를 인증하는 데 사용할 수 있는 인증서에 등록할 수 있는 기술이 있습니다. 이는 직원이 회사 도메인에 가입되지 않은 디바이스에서 회사 리소스에 액세스하려고 할 때 유용합니다. 이러한 디바이스는 사용자가 Microsoft Store 이외의 원본에서 애플리케이션을 다운로드하고 실행할 수 없도록 추가로 정의할 수 있습니다.
API를 사용하여 가상 스마트 카드의 전체 수명 주기를 관리하는 데 사용할 수 있는 Microsoft Store 앱을 빌드할 수 있습니다. 자세한 내용은 프로그래밍 방식으로 가상 스마트 카드 만들기 및 삭제를 참조하세요.
레지스트리의 TPM 소유자Auth
디바이스 또는 컴퓨터가 도메인에 가입되지 않은 경우 TPM 소유자Auth는 HKEY_LOCAL_MACHINE 레지스트리에 저장됩니다. 이렇게 하면 일부 위협이 노출됩니다. 대부분의 위협 벡터는 BitLocker로 보호되지만 보호되지 않는 위협은 다음과 같습니다.
- 악의적인 사용자는 디바이스가 잠기기 전에 활성 로컬 로그인 세션이 있는 디바이스를 소유합니다. 악의적인 사용자는 가상 스마트 카드 PIN에 대한 무차별 암호 대입 공격을 시도한 다음 회사 비밀에 액세스할 수 있습니다.
- 악의적인 사용자는 활성 VPN(가상 사설망) 세션이 있는 디바이스를 소유합니다. 그러면 디바이스가 손상됩니다.
이전 시나리오에 대해 제안된 완화 방법은 EAS(Exchange ActiveSync) 정책을 사용하여 자동 잠금 시간을 5분에서 30초의 비활성으로 줄이는 것입니다. 가상 스마트 카드를 프로비전하는 동안 자동 잠금에 대한 정책을 설정할 수 있습니다. organization 더 많은 보안을 원하는 경우 로컬 디바이스에서 ownerAuth를 제거하도록 설정을 구성할 수도 있습니다.
TPM ownerAuth 레지스트리 키에 대한 구성 정보는 그룹 정책 설정 운영 체제에서 사용할 수 있는 TPM 소유자 권한 부여 정보 수준 구성을 참조하세요.
EAS 정책에 대한 자세한 내용은 Exchange ActiveSync 정책 엔진 개요를 참조하세요.
관리형 및 비관리형 카드
다음 표에서는 소비자 디바이스에 있는 관리형 가상 스마트 카드와 관리되지 않는 가상 스마트 카드 간의 중요한 차이점을 설명합니다.
| 작업 | 관리형 및 비관리형 카드 | 관리되지 않는 카드 |
|---|---|---|
| 사용자가 PIN을 잊어버린 경우 PIN 다시 설정 | 예 | 아니요. 카드 삭제하고 다시 만듭니다. |
| 사용자가 PIN을 변경할 수 있도록 허용 | 예 | 아니요. 카드 삭제하고 다시 만듭니다. |
관리형 카드
관리형 가상 스마트 카드 IT 관리자 또는 지정된 역할의 다른 사용자가 서비스할 수 있습니다. IT 관리자는 가상 스마트 카드 만들기부터 삭제까지 특정 측면에 영향을 미치거나 완전히 제어할 수 있습니다. 이러한 카드를 관리하려면 가상 스마트 카드 배포 관리 도구가 필요한 경우가 많습니다.
관리되는 카드 만들기
사용자는 관리자 권한 명령 프롬프트를 통해 관리 자격 증명으로 실행되는 기본 제공 도구인 Tpmvscmgr 명령줄 도구를 사용하여 빈 가상 스마트 카드 만들 수 있습니다. 가상 스마트 카드 잘 알려진 매개 변수(예: 기본값)를 사용하여 만들어야 하며 형식이 지정되지 않은 상태로 두어야 합니다(특히 /generate 옵션을 지정하지 않아야 함).
다음 명령은 나중에 다른 컴퓨터에서 시작된 스마트 카드 관리 도구에서 관리할 수 있는 가상 스마트 카드 만듭니다(다음 섹션에서 설명).
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey DEFAULT /PIN PROMPT
또는 기본 관리자 키를 사용하는 대신 사용자가 명령줄에 관리자 키를 입력할 수 있습니다.
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey PROMPT /PIN PROMPT
두 경우 모두 카드 관리 시스템은 초기 관리자 키를 알고 있어야 합니다. 요구 사항은 카드 관리 시스템이 가상 스마트 카드 소유권을 가져와서 IT 관리자가 운영하는 카드 관리 도구를 통해서만 액세스할 수 있는 값으로 관리자 키를 변경할 수 있도록 하기 위한 것입니다. 예를 들어 기본값을 사용하면 관리자 키가 다음으로 설정됩니다.
10203040506070801020304050607080102030405060708
이 명령줄 도구를 사용하는 방법에 대한 자세한 내용은 Tpmvscmgr을 참조하세요.
관리되는 카드 관리
가상 스마트 카드 만든 후 사용자는 등록 스테이션(예: 도메인에 가입된 컴퓨터)에 대한 원격 데스크톱 연결을 열어야 합니다. 클라이언트 컴퓨터와 연결된 가상 스마트 카드는 원격 데스크톱 연결에서 사용할 수 있습니다. 사용자는 원격 세션 내에서 카드 소유권을 가져와 사용자가 사용하도록 프로비전할 수 있는 카드 관리 도구를 열 수 있습니다. 이렇게 하려면 사용자가 도메인에 가입되지 않은 컴퓨터에서 도메인에 가입된 컴퓨터로 원격 데스크톱 연결을 설정할 수 있어야 합니다. IPsec 정책을 통해와 같은 특정 네트워크 구성이 필요할 수 있습니다.
사용자가 PIN을 다시 설정하거나 변경해야 하는 경우 원격 데스크톱 연결을 사용하여 이러한 작업을 완료해야 합니다. PIN 잠금 해제 및 PIN 변경 또는 스마트 카드 관리 도구에 기본 제공 도구를 사용할 수 있습니다.
관리형 카드에 대한 인증서 관리
실제 스마트 카드와 마찬가지로 가상 스마트 카드에는 인증서 등록이 필요합니다.
인증서 발급
사용자는 카드 프로비전하기 위해 설정된 원격 데스크톱 세션 내에서 인증서를 등록할 수 있습니다. 이 프로세스는 사용자가 원격 데스크톱 연결을 통해 실행하는 스마트 카드 관리 도구로 관리할 수도 있습니다. 이 모델은 사용자가 물리적 스마트 카드 사용하여 등록 요청에 서명해야 하는 배포에서 작동합니다. 물리적 스마트 카드 대한 드라이버는 원격 컴퓨터에 설치된 경우 클라이언트 컴퓨터에 설치할 필요가 없습니다. 이는 클라이언트 컴퓨터에 연결된 스마트 카드를 원격 세션 중에 사용할 수 있도록 하는 스마트 카드 리디렉션 기능을 통해 가능합니다.
또는 원격 데스크톱 연결을 설정하지 않고 사용자는 클라이언트 컴퓨터의 인증서 관리 콘솔(certmgr.msc)에서 인증서에 등록할 수 있습니다. 사용자는 요청을 만들고 CA(인증 기관)에 대한 액세스를 제어하는 사용자 지정 인증서 등록 애플리케이션(예: 등록 기관) 내에서 서버에 제출할 수도 있습니다. 이를 위해서는 CEP(인증서 등록 정책) 및 CES(인증서 등록 서비스)에 대한 특정 엔터프라이즈 구성 및 배포가 필요합니다.
인증서 수명 주기 관리
원격 데스크톱 연결, 인증서 등록 정책 또는 인증서 등록 서비스를 통해 인증서를 갱신할 수 있습니다. 갱신 요구 사항은 갱신 정책에 따라 초기 발급 요구 사항과 다를 수 있습니다.
인증서 해지를 위해서는 신중한 계획이 필요합니다. 해지할 인증서에 대한 정보를 안정적으로 사용할 수 있는 경우 특정 인증서를 쉽게 해지할 수 있습니다. 해지할 인증서에 대한 정보를 쉽게 확인할 수 없는 경우 인증서를 발급하는 데 사용된 정책에 따라 사용자에게 발급된 모든 인증서를 해지해야 할 수 있습니다. 예를 들어 직원이 분실 또는 손상된 디바이스를 보고하고 디바이스를 인증서와 연결하는 정보를 사용할 수 없는 경우 발생할 수 있습니다.
관리되지 않는 카드
관리되지 않는 가상 스마트 카드는 IT 관리자가 서비스할 수 없습니다. 관리되지 않는 카드는 organization 정교한 스마트 카드 배포 관리 도구가 없고 원격 데스크톱 연결을 사용하여 카드 관리하는 것이 바람직하지 않은 경우 적합할 수 있습니다. 관리되지 않는 카드는 IT 관리자가 서비스할 수 없으므로 사용자가 가상 스마트 카드 도움이 필요한 경우(예: PIN 재설정 또는 잠금 해제) 사용자가 사용할 수 있는 유일한 옵션은 카드 삭제하고 다시 만드는 것입니다. 이로 인해 사용자의 자격 증명이 손실되고 다시 등록해야 합니다.
관리되지 않는 카드 만들기
사용자는 관리자 권한 명령 프롬프트를 통해 관리 자격 증명으로 실행되는 Tpmvscmgr 명령줄 도구를 사용하여 가상 스마트 카드 만들 수 있습니다. 다음 명령은 인증서를 등록하는 데 사용할 수 있는 관리되지 않는 카드 만듭니다.
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey RANDOM /PIN PROMPT /generate
이 명령은 임의 관리자 키를 사용하여 카드 만듭니다. 키는 카드 만든 후 자동으로 삭제됩니다. 사용자가 PIN을 잊어버리거나 변경하려는 경우 카드 삭제하고 다시 만들어야 합니다. 카드 삭제하려면 사용자가 다음 명령을 실행할 수 있습니다.
tpmvscmgr.exe destroy /instance <instance ID>
여기서 <instance ID> 는 사용자가 카드 만들 때 화면에 인쇄되는 값입니다. 특히 생성된 첫 번째 카드 instance ID는 입니다ROOT\SMARTCARDREADER\0000.
관리되지 않는 카드에 대한 인증서 관리
organization 고유한 보안 요구 사항에 따라 사용자는 처음에 인증서 관리 콘솔(certmgr.msc) 또는 사용자 지정 인증서 등록 애플리케이션 내에서 인증서에 등록할 수 있습니다. 후자의 메서드는 요청을 만들고 인증 기관에 액세스할 수 있는 서버에 제출할 수 있습니다. 이렇게 하려면 인증서 등록 정책 및 인증서 등록 서비스에 대한 특정 조직 구성 및 배포가 필요합니다. Windows에는 특히 Certreq.exe 및 Certutil.exe 기본 제공 도구가 있으며, 스크립트에서 명령줄에서 등록을 수행하는 데 사용할 수 있습니다.
도메인 자격 증명만 제공하여 인증서 요청
사용자가 인증서를 요청하는 가장 간단한 방법은 인증서 요청에 대한 기본 제공 구성 요소를 통해 등록을 수행할 수 있는 스크립트를 통해 도메인 자격 증명을 제공하는 것입니다.
또는 클라이언트에 요청을 생성하여 등록을 수행하기 위해 컴퓨터에 애플리케이션(예: 기간 업무 앱)을 설치할 수 있습니다. 요청은 등록 기관에 전달할 수 있는 HTTP 서버에 제출됩니다.
또 다른 옵션은 사용자가 인터넷 Explorer 통해 사용할 수 있는 등록 포털에 액세스하도록 하는 것입니다. 웹 페이지는 스크립팅 API를 사용하여 인증서 등록을 수행할 수 있습니다.
다른 인증서를 사용하여 요청 서명
개인 정보 교환(.pfx) 파일을 통해 사용자에게 단기 인증서를 제공할 수 있습니다. 도메인에 가입된 컴퓨터에서 요청을 시작하여 .pfx 파일을 생성할 수 있습니다. .pfx 파일에 다른 정책 제약 조건을 적용하여 사용자의 ID를 어설션할 수 있습니다.
사용자는 인증서를 내 저장소(사용자의 인증서 저장소)로 가져올 수 있습니다. 또한 organization 단기 인증서에 대한 요청에 서명하고 가상 스마트 카드 요청하는 데 사용할 수 있는 스크립트를 사용자에게 표시할 수 있습니다.
사용자가 물리적 스마트 카드 사용하여 인증서 요청에 서명해야 하는 배포의 경우 다음 절차를 사용할 수 있습니다.
- 사용자가 도메인에 가입된 컴퓨터에서 요청을 시작합니다.
- 사용자는 물리적 스마트 카드 사용하여 요청에 서명하여 요청을 완료합니다.
- 사용자가 클라이언트 컴퓨터의 가상 스마트 카드 요청을 다운로드합니다.
등록에 일회성 암호 사용
가상 스마트 카드 인증서를 발급하기 전에 사용자가 강력하게 인증되도록 하는 또 다른 옵션은 SMS, 이메일 또는 전화를 통해 사용자에게 일회성 암호를 보내는 것입니다. 그런 다음 사용자는 애플리케이션 또는 기본 제공 명령줄 도구를 호출하는 데스크톱의 스크립트에서 인증서를 등록하는 동안 일회성 암호를 입력합니다.
인증서 수명 주기 관리: 인증서 갱신은 초기 인증서 등록에 사용되는 동일한 도구에서 수행할 수 있습니다. 인증서 등록 정책 및 인증서 등록 서비스를 사용하여 자동 갱신을 수행할 수도 있습니다.
인증서 해지를 위해서는 신중한 계획이 필요합니다. 해지할 인증서에 대한 정보를 안정적으로 사용할 수 있는 경우 특정 인증서를 쉽게 해지할 수 있습니다. 해지할 인증서에 대한 정보를 쉽게 확인할 수 없는 경우 인증서를 발급하는 데 사용된 정책에 따라 사용자에게 발급된 모든 인증서를 해지해야 할 수 있습니다. 예를 들어 직원이 분실 또는 손상된 디바이스를 보고하고 디바이스를 인증서와 연결하는 정보는 사용할 수 없습니다.
가상 스마트 카드 유지 관리
유지 관리는 가상 스마트 카드 수명 주기의 상당 부분이며 관리 관점에서 가장 중요한 고려 사항 중 하나입니다. 가상 스마트 카드를 만들고, 개인 지정하고, 프로비전한 후에는 편리한 2단계 인증에 사용할 수 있습니다. 배포 관리자는 구매한 가상 스마트 카드 솔루션을 사용하거나 사내 방법을 사용하여 사례별로 접근할 수 있는 몇 가지 일반적인 관리 시나리오를 알고 있어야 합니다.
갱신: 가상 스마트 카드 자격 증명 갱신은 가상 스마트 카드 배포의 보안을 유지하는 데 필요한 정기적인 작업입니다. 갱신은 새 자격 증명에 원하는 키 쌍을 지정하는 사용자의 서명된 요청의 결과입니다. 사용자의 선택 또는 배포 사양에 따라 사용자는 이전에 사용한 것과 동일한 키 쌍으로 자격 증명을 요청하거나 새로 생성된 키 쌍을 선택할 수 있습니다.
이전에 사용한 키로 갱신할 때 초기 프로비저닝 중에 이 키를 사용하는 강력한 인증서가 발급되었기 때문에 추가 단계가 필요하지 않습니다. 그러나 사용자가 새 키 쌍을 요청할 때 자격 증명의 강도를 보장하기 위해 프로비전 중에 사용된 것과 동일한 단계를 수행해야 합니다. 악의적인 사용자가 시스템에 침투하려는 정교한 장기적 시도에 대응하기 위해 새 키를 사용하여 갱신해야 합니다. 새 키가 할당되면 동일한 가상 스마트 카드에서 예상된 개인이 새 키를 사용하고 있는지 확인해야 합니다.
PIN 재설정: 직원이 PIN을 잊어버리기 때문에 가상 스마트 카드 PIN을 다시 설정하는 것도 자주 필요합니다. 배포의 앞부분에서 선택한 항목에 따라 이 작업을 수행하는 두 가지 방법이 있습니다. PUK를 사용하거나(PUK가 설정된 경우) 관리 키와 함께 챌린지 응답 방법을 사용합니다. PIN을 다시 설정하기 전에 초기 프로비전 중에 사용한 확인 방법(예: 대면 교정)과 같은 카드 이외의 방법을 사용하여 사용자의 ID를 확인해야 합니다. 이는 사용자가 PIN을 잊어버린 경우 사용자 오류 시나리오에서 필요합니다. 그러나 PIN이 노출된 후 취약성 수준을 식별하기 어렵기 때문에 손상된 경우 PIN을 다시 설정해서는 안 됩니다. 전체 카드 재발행되어야 합니다.
잠금 재설정: PIN을 재설정하는 빈번한 전구체는 TPM 망치 방지 논리가 가상 스마트 카드 대한 여러 PIN 항목 실패와 관련되기 때문에 TPM 잠금 시간을 다시 설정해야 합니다. 현재 디바이스별로 다릅니다.
사용 중지 카드: 가상 스마트 카드 관리의 마지막 측면은 더 이상 필요하지 않을 때 카드를 사용 중지하는 것입니다. 직원이 회사를 떠날 때 도메인 액세스를 취소하는 것이 좋습니다. CA(인증 기관)에서 로그인 자격 증명을 취소하면 이 목표를 달성합니다.
운영 체제를 다시 설치하지 않고 다른 직원이 동일한 컴퓨터를 사용하는 경우 카드 다시 실행해야 합니다. 이전 카드 다시 사용하면 이전 직원이 organization 떠난 후 PIN을 변경한 다음 새 사용자에게 속한 인증서를 하이재킹하여 무단 도메인 액세스를 얻을 수 있습니다. 그러나 직원이 가상 스마트 카드 지원 컴퓨터를 사용하는 경우 가상 스마트 카드 저장된 인증서만 해지하면 됩니다.
비상 대비
카드 재발행
organization 가장 일반적인 시나리오는 운영 체제를 다시 설치하거나 가상 스마트 카드 어떤 방식으로든 손상된 경우 필요할 수 있는 가상 스마트 카드를 재발행하는 것입니다. 재발행은 기본적으로 새 PIN 및 관리자 키를 설정하고 연결된 인증서의 새 집합을 프로비전하는 카드 재현하는 것입니다. 예를 들어 가상 스마트 카드 보호된 컴퓨터가 올바른 PIN에 액세스할 수 있는 악의적 사용자에게 노출되는 경우와 같이 카드 손상될 때 즉시 필요합니다. 재발행은 카드 개인 정보 보호에 대한 알 수 없는 노출에 대한 가장 안전한 응답입니다. 또한 운영 체제를 다시 설치할 때 가상 스마트 카드 디바이스 프로필이 다른 모든 사용자 데이터와 함께 제거되므로 운영 체제를 다시 설치한 후에는 재발행이 필요합니다.
차단된 가상 스마트 카드
TPM 가상 스마트 카드 망치 방지 동작은 실제 스마트 카드 동작과 다릅니다. 실제 스마트 카드 사용자가 잘못된 PIN을 몇 번 입력한 후 자신을 차단합니다. TPM 가상 스마트 카드 사용자가 잘못된 PIN을 몇 번 입력한 후 시간 지연을 입력합니다. TPM이 시간 지연 모드인 경우 사용자가 TPM 가상 스마트 카드 사용하려고 하면 사용자에게 카드 차단되었다는 알림이 표시됩니다. 또한 통합 잠금 해제 기능을 사용하도록 설정하면 사용자는 가상 스마트 카드 잠금을 해제하고 PIN을 변경하는 사용자 인터페이스를 볼 수 있습니다. 가상 스마트 카드 잠금 해제해도 TPM 잠금이 다시 설정되지 않습니다. 사용자는 TPM 잠금을 다시 설정하거나 시간 지연이 만료되기를 기다리는 추가 단계를 수행해야 합니다.
통합 차단 해제 허용 정책을 설정하는 방법에 대한 자세한 내용은 로그온 시 통합 차단 해제 화면 표시 허용을 참조하세요.