Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aviso
Windows Hello para Empresas e as chaves de segurança FIDO2 são métodos modernos de autenticação de dois fatores para Windows. Os clientes que usam cartões inteligentes virtuais são incentivados a migrar para Windows Hello para Empresas ou FIDO2. Para novas instalações do Windows, recomendamos Windows Hello para Empresas ou chaves de segurança FIDO2.
Este artigo discute os fatores a serem considerados ao implantar uma solução de autenticação de cartão inteligente virtual.
Dispositivos de identidade tradicionais, como cartões inteligentes físicos, seguem um ciclo de vida previsível em qualquer implantação, conforme mostrado no diagrama a seguir.
Um fabricante de dispositivos cria dispositivos físicos e, em seguida, uma organização compra e os implanta. O dispositivo passa pelo estágio de personalização, onde suas propriedades exclusivas são definidas. Em cartões inteligentes, essas propriedades são a chave de administrador, o PIN (Número de Identificação Pessoal), a Chave de Desbloqueio de PIN (PUK)e sua aparência física. Durante a fase de provisionamento do dispositivo, os certificados necessários são instalados, como um certificado de entrada. Depois de provisionar o dispositivo, ele estará pronto para uso. Você manterá o dispositivo, por exemplo, poderá substituir cartões quando eles forem perdidos ou roubados ou redefinir PINs quando os usuários os esquecerem. Por fim, você aposentará os dispositivos quando eles excederem o tempo de vida pretendido ou quando os funcionários deixarem a empresa.
Este tópico contém informações sobre as seguintes fases em um ciclo de vida de cartão inteligente virtual:
- Criar e personalizar cartões inteligentes virtuais
- Provisionar cartões inteligentes virtuais
- Manter cartões inteligentes virtuais
Criar e personalizar cartões inteligentes virtuais
Uma empresa compra os dispositivos para implantar em seguida. O dispositivo passa pelo estágio de personalização, onde suas propriedades exclusivas são definidas. Em cartões inteligentes, essas propriedades são a chave de administrador, o PIN (Número de Identificação Pessoal), a Chave de Desbloqueio de PIN (PUK) e sua aparência física. A segurança fornecida para um cartão inteligente virtual do TPM é totalmente provisionada no TPM do host.
Preparação do Módulo de Plataforma Confiável
O Assistente de Provisionamento do TPM, que é iniciado no Console de Gerenciamento do TPM, leva o usuário a todas as etapas para preparar o TPM para uso.
Ao criar cartões inteligentes virtuais, considere as seguintes ações no TPM:
- Habilitar e Ativar: os TPMs são incorporados em muitos dispositivos. Em alguns casos, o TPM deve ser habilitado e ativado por meio do BIOS
- Assuma a propriedade: ao provisionar o TPM, você define uma senha de proprietário para gerenciar o TPM no futuro e estabelece a chave raiz de armazenamento. Para fornecer proteção anti-martelada para cartões inteligentes virtuais, o usuário ou um administrador de domínio devem ser capazes de redefinir a senha do proprietário do TPM. Para o uso corporativo de cartões inteligentes virtuais TPM, o administrador de domínio deve restringir o acesso à senha do proprietário do TPM armazenando-a no Active Directory e não no registro local. Quando a propriedade TPM é definida, você deve limpar e reinicializar o TPM
- Gerenciar: você pode gerenciar a propriedade de uma cartão inteligente virtual alterando a senha do proprietário e pode gerenciar a lógica anti-martelada redefinindo o tempo de bloqueio
Um TPM pode operar no modo de funcionalidade reduzido, o que pode ocorrer se o sistema operacional não puder determinar se a senha do proprietário está disponível para o usuário. Durante o modo de redução da funcionalidade, você pode usar o TPM para criar uma cartão inteligente virtual, mas é preferível levar o TPM a um estado totalmente pronto para que quaisquer circunstâncias inesperadas não deixem o usuário impedido de usar o dispositivo.
Essas ferramentas inteligentes de gerenciamento de implantação cartão que exigem uma status marcar de um TPM antes de tentar criar uma cartão inteligente virtual do TPM podem fazê-lo usando a interface TPM WMI.
Dependendo da configuração do dispositivo designado para instalar cartões inteligentes virtuais TPM, talvez seja necessário provisionar o TPM antes de continuar com a implantação de cartão inteligente virtual. Para obter mais informações sobre provisionamento, consulte Usar Cartões Inteligentes Virtuais.
Para obter mais informações sobre como gerenciar TPMs usando ferramentas internas, consulte Serviços de Módulo de Plataforma Confiável Política de Grupo Configurações.
Criação
Um cartão inteligente virtual do TPM simula uma cartão inteligente física, usando o TPM para fornecer a mesma funcionalidade que o hardware de cartão inteligente físico.
Uma cartão inteligente virtual aparece no sistema operacional como uma cartão inteligente física que é sempre inserida. O Windows apresenta um leitor de cartão inteligente virtual e uma cartão inteligente virtual para aplicativos usando a mesma interface que cartões inteligentes físicos. As mensagens de e para os cartão inteligentes virtuais são traduzidas para comandos TPM, garantindo a integridade do cartão inteligente virtual por meio das três propriedades de segurança de cartão inteligente:
- Não exportabilidade: como todas as informações privadas sobre o cartão inteligente virtual são criptografadas usando o TPM no computador host, ela não pode ser usada em um computador diferente com um TPM diferente. Além disso, os TPMs foram projetados para serem resistentes a adulterações e não exportáveis, de modo que um usuário mal-intencionado não pode reverter um TPM idêntico ou instalar o mesmo TPM em um computador diferente. Para obter mais informações, confira Avaliar Segurança de Cartão Inteligente Virtual.
- Criptografia isolada: os TPMs fornecem as mesmas propriedades de criptografia isolada oferecidas por cartões inteligentes físicos, que são utilizadas por cartões inteligentes virtuais. Cópias não criptografadas de chaves privadas são carregadas somente dentro do TPM e nunca na memória acessível pelo sistema operacional. Todas as operações criptográficas com essas chaves privadas ocorrem dentro do TPM.
- Anti-martelada: se um usuário inserir um PIN incorretamente, o cartão inteligente virtual responderá usando a lógica anti-martelada do TPM, que rejeita novas tentativas por algum tempo em vez de bloquear o cartão. Isso também é conhecido como bloqueio. Para obter mais informações, consulte Bloqueio de cartão inteligentes virtuais e Avaliar segurança de cartão inteligente virtual.
Há várias opções para criar cartões inteligentes virtuais, dependendo do tamanho da implantação e do orçamento da organização. A opção de menor custo é usar tpmvscmgr.exe para criar cartões individualmente nos computadores dos usuários. Como alternativa, uma solução de gerenciamento de cartão inteligente virtual pode ser adquirida para realizar mais facilmente a criação de cartão inteligentes virtuais em uma escala maior e ajudar em outras fases de implantação. Cartões inteligentes virtuais podem ser criados em computadores que devem ser provisionados para um funcionário ou para aqueles que já estão em posse de um funcionário. Em qualquer abordagem, deve haver algum controle central sobre personalização e provisionamento. Se um computador for destinado a ser usado por vários funcionários, vários cartões inteligentes virtuais poderão ser criados em um computador.
Para obter informações sobre a ferramenta de linha de comando TPM Smart Card Virtual, consulte Tpmvscmgr.
Personalization
Durante a personalização de cartão inteligente virtual, os valores da chave de administrador, PIN e PUK são atribuídos. Assim como acontece com uma cartão física, conhecer a chave de administrador é importante para redefinir o PIN ou para excluir o cartão no futuro. (Se você definir um PUK, não poderá usar a chave de administrador para redefinir o PIN.)
Como a chave de administrador é fundamental para a segurança do cartão, é importante considerar o ambiente de implantação e decidir sobre a estratégia de configuração de chave de administrador adequada. As opções para essas estratégias incluem:
- Uniforme: as chaves de administrador de todos os cartões inteligentes virtuais implantados na organização são as mesmas. Embora o uso da mesma chave facilite a infraestrutura de manutenção (apenas uma chave precisa ser armazenada), ela é altamente insegura. Essa estratégia pode ser suficiente para organizações pequenas, mas se a chave de administrador estiver comprometida, todos os cartões inteligentes virtuais que usam a chave devem ser relançados
- Aleatório, não armazenado: as chaves de administrador são atribuídas aleatoriamente para todos os cartões inteligentes virtuais e não são registradas. Essa é uma opção válida se os administradores de implantação não exigirem a capacidade de redefinir PINs e preferirem excluir e reemissar cartões inteligentes virtuais. Essa é uma estratégia viável se o administrador preferir definir valores PUK para os cartões inteligentes virtuais e, em seguida, usar esse valor para redefinir PINs, se necessário
- Aleatório, armazenado: você atribui as chaves de administrador aleatoriamente, armazenando-as em um local central. A segurança de cada cartão é independente das outras. Essa é uma estratégia segura em grande escala, a menos que o banco de dados de chave de administrador esteja comprometido
- Determinística: as chaves de administrador são o resultado de alguma função ou informações conhecidas. Por exemplo, a ID do usuário pode ser usada para gerar dados aleatoriamente que podem ser processados por meio de um algoritmo de criptografia simétrica usando um segredo. Essa chave de administrador pode ser regenerada da mesma forma quando necessário e não precisa ser armazenada. A segurança desse método depende da segurança do segredo usado.
Embora o PUK e as metodologias de chave de administrador forneçam funcionalidade de desbloqueio e redefinição, eles o fazem de maneiras diferentes. O PUK é um PIN inserido no computador para habilitar uma redefinição de PIN de usuário.
A metodologia de chave de administrador adota uma abordagem de resposta a desafios. O cartão fornece um conjunto de dados aleatórios depois que os usuários verificam sua identidade para o administrador da implantação. O administrador então criptografa os dados com a chave de administrador e fornece os dados criptografados de volta ao usuário. Se os dados criptografados corresponderem ao produzido pelo cartão durante a verificação, o cartão permitirá a redefinição do PIN. Como a chave de administrador nunca é acessível por ninguém além do administrador de implantação, ela não pode ser interceptada ou gravada por qualquer outra parte (incluindo funcionários). Isso fornece benefícios de segurança significativos além do uso de um PUK, uma consideração importante durante o processo de personalização.
Os cartões inteligentes virtuais TPM podem ser personalizados individualmente quando são criados com a ferramenta de linha de comando Tpmvscmgr. Ou as organizações podem comprar uma solução de gerenciamento que pode incorporar a personalização em uma rotina automatizada. Outra vantagem dessa solução é a criação automatizada de chaves de administrador. Tpmvscmgr.exe permite que os usuários criem suas próprias chaves de administrador, o que pode ser prejudicial à segurança dos cartões inteligentes virtuais.
Provisionar cartões inteligentes virtuais
O provisionamento é o processo de carregamento de credenciais específicas em um cartão inteligente virtual do TPM. Essas credenciais consistem em certificados criados para dar aos usuários acesso a um serviço específico, como entrada de domínio. Um máximo de 30 certificados é permitido em cada cartão inteligente virtual. Assim como acontece com cartões inteligentes físicos, várias decisões devem ser tomadas em relação à estratégia de provisionamento, com base no ambiente da implantação e no nível de segurança desejado.
Um nível de alta garantia de provisionamento seguro requer certeza absoluta sobre a identidade do indivíduo que está recebendo o certificado. Portanto, um método de provisionamento de alta garantia é utilizar credenciais fortes previamente provisionadas, como uma cartão inteligente física, para validar a identidade durante o provisionamento. O comprovante presencial em estações de registro é outra opção, porque um indivíduo pode provar com facilidade e segurança sua identidade com um passaporte ou carteira de motorista, embora isso possa se tornar inviável em uma escala maior. Para obter um nível semelhante de garantia, uma grande organização pode implementar uma estratégia de "registrar-se em nome de", na qual os funcionários são registrados com suas credenciais por um superior que pode verificar pessoalmente suas identidades. Isso cria uma cadeia de confiança que garante que os indivíduos sejam verificados pessoalmente em relação às suas identidades propostas, mas sem a tensão administrativa de provisionar todos os cartões inteligentes virtuais de uma única estação de registro central.
Para implantações nas quais um nível de alta garantia não é uma preocupação primária, você pode usar soluções de autoatendimento. Isso pode incluir o uso de um portal online para obter credenciais ou simplesmente registrar-se para certificados usando o Gerenciador de Certificados, dependendo da implantação. Considere que a autenticação de cartão inteligente virtual é tão forte quanto o método de provisionamento. Por exemplo, se credenciais de domínio fracas (como apenas uma senha) forem usadas para solicitar o certificado de autenticação, a autenticação de cartão inteligente virtual será equivalente a usar apenas a senha e os benefícios da autenticação de dois fatores serão perdidos.
Para obter informações sobre como usar o Gerenciador de Certificados para configurar cartões inteligentes virtuais, consulte Introdução com Cartões Inteligentes Virtuais: Guia passo a passo.
Soluções de alta segurança e autoatendimento abordam o provisionamento de cartão inteligente virtual, supondo que o computador do usuário tenha sido emitido antes da implantação de cartão inteligente virtual, mas nem sempre é o caso. Se os cartões inteligentes virtuais estiverem sendo implantados com novos computadores, eles poderão ser criados, personalizados e provisionados no computador antes que o usuário tenha contato com esse computador.
Nessa situação, o provisionamento torna-se relativamente simples, mas as verificações de identidade devem ser implementadas para garantir que o destinatário do computador seja o indivíduo esperado durante o provisionamento. Isso pode ser feito exigindo que o funcionário defina o PIN inicial sob a supervisão do administrador ou do gerente de implantação.
Ao provisionar seus computadores, você também deve considerar a longevidade das credenciais fornecidas para cartões inteligentes virtuais. Essa escolha deve ser baseada no limite de risco da organização. Embora credenciais mais longas sejam mais convenientes, elas também são mais propensas a ficar comprometidas durante o tempo de vida. Para decidir sobre o tempo de vida apropriado para credenciais, a estratégia de implantação deve levar em conta a vulnerabilidade de sua criptografia (quanto tempo pode levar para quebrar as credenciais) e a probabilidade de ataque.
Para cartões inteligentes virtuais comprometidos, os administradores devem ser capazes de revogar as credenciais associadas, como fariam com um laptop perdido ou roubado. Revogar credenciais requer um registro de quais credenciais correspondem a qual usuário e dispositivo, mas a funcionalidade não existe nativamente no Windows. Os administradores de implantação podem querer considerar soluções de complemento para manter um registro.
Cartões inteligentes virtuais em dispositivos de consumidor usados para acesso corporativo
Há técnicas que permitem que os funcionários provisionem cartões inteligentes virtuais e registrem-se para certificados que podem ser usados para autenticar os usuários. Isso é útil quando os funcionários tentam acessar recursos corporativos de dispositivos que não estão ingressados no domínio corporativo. Esses dispositivos podem ser ainda mais definidos para não permitir que os usuários baixem e executem aplicativos de fontes diferentes da Microsoft Store.
Você pode usar APIs para criar aplicativos da Microsoft Store que podem ser usados para gerenciar o ciclo de vida completo de cartões inteligentes virtuais. Para obter mais informações, consulte Criar e excluir cartões inteligentes virtuais de forma programática.
Proprietário do TPMAuth no registro
Quando um dispositivo ou computador não é ingressado em um domínio, o proprietário do TPMAuth é armazenado no registro em HKEY_LOCAL_MACHINE. Isso expõe algumas ameaças. A maioria dos vetores de ameaça são protegidos pelo BitLocker, mas as ameaças que não estão protegidas incluem:
- Um usuário mal-intencionado possui um dispositivo que tem uma sessão de entrada local ativa antes do dispositivo ser bloqueado. O usuário mal-intencionado pode tentar um ataque de força bruta no PIN de cartão inteligente virtual e acessar os segredos corporativos
- Um usuário mal-intencionado possui um dispositivo que tem uma sessão VPN (rede virtual privada) ativa. Em seguida, o dispositivo é comprometido
A mitigação proposta para os cenários anteriores é usar políticas de EAS (Exchange ActiveSync) para reduzir o tempo de bloqueio automático de cinco minutos para 30 segundos de inatividade. Você pode definir políticas para bloqueio automático ao provisionar cartões inteligentes virtuais. Se uma organização quiser mais segurança, ela também poderá configurar uma configuração para remover o proprietárioAuth do dispositivo local.
Para obter informações de configuração sobre o proprietário do TPMA chave do registroAuth, consulte a configuração Política de Grupo Configurar o nível de informações de autorização do proprietário do TPM disponíveis para o sistema operacional.
Para obter informações sobre políticas de EAS, consulte Visão geral do Mecanismo de Política Exchange ActiveSync.
Cartões gerenciados e não gerenciados
A tabela a seguir descreve as diferenças importantes entre cartões inteligentes virtuais gerenciados e não gerenciados que existem em dispositivos de consumo:
| Operação | Cartões gerenciados e não gerenciados | Cartões não gerenciados |
|---|---|---|
| Redefinir PIN quando o usuário esquecer o PIN | Sim | Não. Exclua e recrie o cartão. |
| Permitir que o usuário altere o PIN | Sim | Não. Exclua e recrie o cartão. |
Cartões gerenciados
Uma cartão inteligente virtual gerenciada pode ser atendida pelo administrador de TI ou outra pessoa nessa função designada. Ele permite que o administrador de TI tenha influência ou controle completo sobre aspectos específicos do cartão inteligente virtual de sua criação para exclusão. Para gerenciar esses cartões, geralmente é necessária uma ferramenta de gerenciamento de implantação de cartão inteligente virtual.
Criação de cartão gerenciada
Um usuário pode criar cartão inteligentes virtuais em branco usando a ferramenta de linha de comando Tpmvscmgr, que é uma ferramenta interna executada com credenciais administrativas por meio de um prompt de comando elevado. O cartão inteligente virtual deve ser criado com parâmetros conhecidos (como valores padrão) e deve ser deixado sem formatação (especificamente, a opção /generate não deve ser especificada).
O comando a seguir cria uma cartão inteligente virtual que pode ser gerenciada posteriormente por uma ferramenta de gerenciamento de cartão inteligente lançada de outro computador (conforme explicado na próxima seção):
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey DEFAULT /PIN PROMPT
Como alternativa, em vez de usar uma chave de administrador padrão, um usuário pode inserir uma chave de administrador na linha de comando:
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey PROMPT /PIN PROMPT
Em ambos os casos, o sistema de gerenciamento de cartão precisa estar ciente da chave de administrador inicial. O requisito é para que o sistema de gerenciamento de cartão possa assumir a propriedade do cartão inteligente virtual e alterar a chave de administrador para um valor acessível apenas por meio da ferramenta de gerenciamento de cartão operada pelo administrador de TI. Por exemplo, quando você usa o padrão, a chave de administrador é definida como:
10203040506070801020304050607080102030405060708
Para obter informações sobre como usar essa ferramenta de linha de comando, consulte Tpmvscmgr.
Gerenciamento de cartão gerenciado
Depois que o cartão inteligente virtual for criado, o usuário precisará abrir uma conexão de área de trabalho remota para uma estação de registro, por exemplo, em um computador que é ingressado no domínio. Cartões inteligentes virtuais associados a um computador cliente estão disponíveis para uso na conexão de área de trabalho remota. O usuário pode abrir uma ferramenta de gerenciamento de cartão dentro da sessão remota que pode assumir a propriedade do cartão e provisioná-lo para uso pelo usuário. Isso exige que um usuário tenha permissão para estabelecer uma conexão de área de trabalho remota de um computador não associado ao domínio para um computador ingressado no domínio. Isso pode exigir uma configuração de rede específica, como por meio de políticas IPsec.
Quando os usuários precisam redefinir ou alterar um PIN, eles precisam usar a conexão remota da área de trabalho para concluir essas operações. Eles podem usar as ferramentas internas para o desbloqueio de PIN e a alteração de PIN ou a ferramenta de gerenciamento de cartão inteligente.
Gerenciamento de certificados para cartões gerenciados
Semelhante aos cartões inteligentes físicos, os cartões inteligentes virtuais exigem registro de certificado.
Emissão de certificado
Os usuários podem se inscrever para certificados de dentro de uma sessão de área de trabalho remota estabelecida para provisionar o cartão. Esse processo também pode ser gerenciado pela ferramenta de gerenciamento de cartão inteligente que o usuário executa por meio da conexão de área de trabalho remota. Esse modelo funciona para implantações que exigem que o usuário assine uma solicitação de registro usando uma cartão inteligente física. O driver do cartão físico inteligente não precisa ser instalado no computador cliente se ele estiver instalado no computador remoto. Isso é possível por meio da funcionalidade de redirecionamento cartão inteligente, que garante que os cartões inteligentes conectados ao computador cliente estejam disponíveis para uso durante uma sessão remota.
Como alternativa, sem estabelecer uma conexão de área de trabalho remota, os usuários podem se inscrever para obter certificados do console de Gerenciamento de Certificados (certmgr.msc) em um computador cliente. Os usuários também podem criar uma solicitação e enviá-la a um servidor de dentro de um aplicativo de registro de certificado personalizado (por exemplo, uma autoridade de registro) que tenha acesso controlado à autoridade de certificação (AC). Isso requer configurações e implantações corporativas específicas para CEP (Políticas de Registro de Certificado) e CES (Serviços de Registro de Certificado).
Gerenciamento do ciclo de vida do certificado
Você pode renovar certificados por meio de conexões remotas da área de trabalho, políticas de registro de certificado ou serviços de registro de certificado. Os requisitos de renovação podem ser diferentes dos requisitos de emissão inicial, com base na política de renovação.
A revogação do certificado requer um planejamento cuidadoso. Quando as informações sobre o certificado a ser revogado estão disponíveis de forma confiável, o certificado específico pode ser facilmente revogado. Quando as informações sobre o certificado a ser revogado não são fáceis de determinar, todos os certificados emitidos ao usuário sob a política usada para emitir o certificado podem precisar ser revogados. Por exemplo, isso poderá ocorrer se um funcionário relatar um dispositivo perdido ou comprometido e as informações que associam o dispositivo a um certificado não estiverem disponíveis.
Cartões não gerenciados
Cartões inteligentes virtuais não gerenciados não são atendidos por um administrador de TI. Cartões não gerenciados podem ser adequados se uma organização não tiver uma ferramenta de gerenciamento de implantação inteligente cartão elaborada e usar conexões remotas de área de trabalho para gerenciar o cartão não for desejável. Como cartões não gerenciados não são atendidos pelo administrador de TI, quando um usuário precisa de ajuda com uma cartão inteligente virtual (por exemplo, redefinir ou desbloquear um PIN), a única opção disponível para o usuário é excluir o cartão e criá-lo novamente. Isso resulta na perda das credenciais do usuário e ele ou ela deve se registrar novamente.
Criação de cartão não gerenciada
Um usuário pode criar uma cartão inteligente virtual usando a ferramenta de linha de comando Tpmvscmgr, que é executada com credenciais administrativas por meio de um prompt de comando elevado. O comando a seguir cria um cartão não gerenciado que pode ser usado para registrar certificados:
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey RANDOM /PIN PROMPT /generate
Esse comando cria um cartão com uma chave de administrador aleatória. A chave é descartada automaticamente após a criação do cartão. Se os usuários esquecerem ou desejarem alterar seu PIN, eles precisarão excluir o cartão e criá-lo novamente. Para excluir o cartão, um usuário pode executar o seguinte comando:
tpmvscmgr.exe destroy /instance <instance ID>
onde <instance ID> é o valor impresso na tela quando o usuário cria o cartão. Especificamente, para o primeiro cartão criado, a ID da instância é ROOT\SMARTCARDREADER\0000.
Gerenciamento de certificados para cartões não gerenciados
Dependendo dos requisitos de segurança exclusivos de uma organização, os usuários podem inicialmente registrar certificados do certificado console de gerenciamento (certmgr.msc) ou de dentro de aplicativos personalizados de registro de certificado. Este último método pode criar uma solicitação e enviá-la a um servidor que tenha acesso à Autoridade de Certificação. Isso requer configurações e implantações organizacionais específicas para políticas de registro de certificado e serviços de registro de certificado. O Windows tem ferramentas internas, especificamente Certreq.exe e Certutil.exe, que podem ser usadas por scripts para executar o registro na linha de comando.
Solicitando o certificado fornecendo apenas credenciais de domínio
A maneira mais simples de os usuários solicitarem certificados é fornecer suas credenciais de domínio por meio de um script que pode executar o registro por meio de componentes internos que você tem em vigor para solicitações de certificado.
Como alternativa, um aplicativo (como um aplicativo de linha de negócios) pode ser instalado no computador para executar o registro gerando uma solicitação no cliente. A solicitação é enviada a um servidor HTTP, que pode encaminhá-la para uma autoridade de registro.
Outra opção é fazer com que o usuário acesse um portal de registro disponível por meio da Internet Explorer. A página da Web pode usar as APIs de script para executar o registro de certificado.
Assinando a solicitação com outro certificado
Você pode fornecer aos usuários um certificado de curto prazo por meio de um arquivo do Troca de Informações Pessoais (.pfx). Você pode gerar o arquivo .pfx iniciando uma solicitação de um computador ingressado no domínio. Você pode impor outras restrições de política no arquivo .pfx para afirmar a identidade do usuário.
O usuário pode importar o certificado para a loja MY (que é o repositório de certificados do usuário). E sua organização pode apresentar ao usuário um script que pode ser usado para assinar a solicitação do certificado de curto prazo e solicitar uma cartão inteligente virtual.
Para implantações que exigem que os usuários usem uma cartão inteligente física para assinar a solicitação de certificado, você pode usar o procedimento:
- Os usuários iniciam uma solicitação em um computador ingressado no domínio
- Os usuários completam a solicitação usando uma cartão inteligente física para assinar a solicitação
- Os usuários baixam a solicitação para o cartão inteligente virtual em seu computador cliente
Usando senha única para registro
Outra opção para garantir que os usuários sejam fortemente autenticados antes que certificados de cartão inteligentes virtuais sejam emitidos, é enviar a um usuário uma senha única por SMS, email ou telefone. Em seguida, o usuário digita a senha única durante o registro de certificado de um aplicativo ou um script em uma área de trabalho que invoca ferramentas internas de linha de comando.
Gerenciamento do ciclo de vida do certificado: a renovação do certificado pode ser feita a partir das mesmas ferramentas usadas para o registro inicial do certificado. As políticas de registro de certificado e os serviços de registro de certificado também podem ser usados para executar a renovação automática.
A revogação do certificado requer um planejamento cuidadoso. Quando as informações sobre o certificado a ser revogado estão disponíveis de forma confiável, o certificado específico pode ser facilmente revogado. Quando as informações sobre o certificado a ser revogado não são fáceis de determinar, todos os certificados emitidos ao usuário sob a política usada para emitir o certificado podem precisar ser revogados. Por exemplo, se um funcionário relatar um dispositivo perdido ou comprometido e as informações que associam o dispositivo a um certificado não estiverem disponíveis.
Manter cartões inteligentes virtuais
A manutenção é uma parte significativa do ciclo de vida cartão inteligente virtual e uma das considerações mais importantes de uma perspectiva de gerenciamento. Depois que os cartões inteligentes virtuais forem criados, personalizados e provisionados, eles poderão ser usados para autenticação conveniente de dois fatores. Os administradores de implantação devem estar cientes de vários cenários administrativos comuns, que podem ser abordados usando uma solução de cartão inteligente virtual comprada ou caso a caso com métodos internos.
Renovação: Renovar credenciais de cartão inteligentes virtuais é uma tarefa regular necessária para preservar a segurança de uma implantação de cartão inteligente virtual. A renovação é o resultado de uma solicitação assinada de um usuário que especifica o par de chaves desejado para as novas credenciais. Dependendo da escolha do usuário ou da especificação de implantação, o usuário pode solicitar credenciais com o mesmo par de chaves usado anteriormente ou escolher um par de chaves recém-gerado.
Ao renovar com uma chave usada anteriormente, nenhuma etapa extra é necessária porque um certificado forte com essa chave foi emitido durante o provisionamento inicial. No entanto, quando o usuário solicita um novo par de chaves, você deve tomar as mesmas etapas que foram usadas durante o provisionamento para garantir a força das credenciais. A renovação com novas chaves deve ocorrer periodicamente para combater tentativas sofisticadas de longo prazo de usuários mal-intencionados de se infiltrarem no sistema. Quando novas chaves forem atribuídas, você deve garantir que as novas chaves estejam sendo usadas pelos indivíduos esperados nos mesmos cartões inteligentes virtuais.
Redefinir PINs: redefinir PINs de cartão inteligente virtual também é uma necessidade frequente, pois os funcionários esquecem seus PINs. Há duas maneiras de fazer isso, dependendo das opções feitas anteriormente na implantação: usar um PUK (se o PUK estiver definido) ou usar uma abordagem de resposta de desafio com a chave de administração. Antes de redefinir o PIN, a identidade do usuário deve ser verificada usando alguns meios diferentes do cartão , provavelmente o método de verificação que você usou durante o provisionamento inicial (por exemplo, comprovação presencial). Isso é necessário em cenários de erro de usuário quando os usuários esquecem seus PINs. No entanto, você nunca deve redefinir um PIN se ele tiver sido comprometido porque o nível de vulnerabilidade após a exposição do PIN é difícil de identificar. Todo o cartão deve ser relançado.
Redefinição de bloqueio: um precursor frequente para redefinir um PIN é a necessidade de redefinir o tempo de bloqueio do TPM porque a lógica anti-martelada do TPM será envolvida com várias falhas de entrada PIN para um cartão inteligente virtual. No momento, isso é específico do dispositivo.
Retirar cartões: o aspecto final do gerenciamento de cartão inteligente virtual é aposentar cartões quando eles não são mais necessários. Quando um funcionário deixa a empresa, é desejável revogar o acesso ao domínio. A revogação de credenciais de entrada da autoridade de certificação (AC) atinge essa meta.
O cartão deve ser relançado se o mesmo computador for usado por outros funcionários sem reinstalar o sistema operacional. Reutilizar o antigo cartão pode permitir que o ex-funcionário altere o PIN após sair da organização e, em seguida, seqüestrar certificados que pertencem ao novo usuário para obter acesso de domínio não autorizado. No entanto, se o funcionário usar o computador virtual inteligente habilitado para cartão, só será necessário revogar os certificados armazenados no cartão inteligente virtual.
Preparação de emergência
Reissuance de cartão
O cenário mais comum em uma organização é a reutilização de cartões inteligentes virtuais, o que pode ser necessário se o sistema operacional for reinstalado ou se o cartão inteligente virtual estiver comprometido de alguma forma. A reemissão é essencialmente a recriação do cartão, que envolve estabelecer uma nova chave pin e administrador e provisionar um novo conjunto de certificados associados. Essa é uma necessidade imediata quando um cartão é comprometido, por exemplo, se o computador virtual inteligente protegido por cartão for exposto a um adversário que pode ter acesso ao PIN correto. A reemissão é a resposta mais segura a uma exposição desconhecida da privacidade de um cartão. Além disso, a reemissão é necessária depois que um sistema operacional é reinstalado porque o perfil virtual inteligente cartão dispositivo é removido com todos os outros dados do usuário quando o sistema operacional é reinstalado.
Cartão inteligente virtual bloqueada
O comportamento anti-martelada de uma cartão inteligente virtual TPM é diferente do de uma cartão inteligente física. Uma cartão inteligente física se bloqueia depois que o usuário insere o PIN errado algumas vezes. Um cartão inteligente virtual do TPM insere um atraso temporizado depois que o usuário insere o PIN errado algumas vezes. Se o TPM estiver no modo de atraso pontual, quando o usuário tentar usar o cartão inteligente virtual do TPM, o usuário será notificado de que o cartão está bloqueado. Além disso, se você habilitar a funcionalidade de desbloqueio integrado, o usuário poderá ver a interface do usuário para desbloquear a cartão inteligente virtual e alterar o PIN. Desbloquear o cartão inteligente virtual não redefine o bloqueio do TPM. O usuário precisa executar uma etapa extra para redefinir o bloqueio do TPM ou aguardar a expiração do atraso cronometrado.
Para obter mais informações sobre como definir a política Permitir Desbloqueio Integrado, consulte Permitir que a tela Desbloqueio Integrado seja exibida no momento do logon.