Introdução aos cartões inteligentes virtuais: guia passo a passo

Aviso

Windows Hello para Empresas e as chaves de segurança FIDO2 são métodos de autenticação de dois fatores modernos para o Windows. Os clientes que utilizam smart cards virtuais são encorajados a mudar para Windows Hello para Empresas ou FIDO2. Para novas instalações do Windows, recomendamos que Windows Hello para Empresas ou chaves de segurança FIDO2.

Este tópico para profissionais de TI descreve como configurar um ambiente de teste básico para utilizar smart cards virtuais TPM.

Os smart cards virtuais são uma tecnologia da Microsoft que oferece benefícios de segurança comparáveis na autenticação de dois fatores para smart cards físicos. Também oferecem mais conveniência para os utilizadores e um custo mais baixo para as organizações implementarem. Ao utilizar dispositivos Trusted Platform Module (TPM) que fornecem as mesmas capacidades criptográficas que os smart cards físicos, os smart cards virtuais cumprem as três propriedades principais pretendidas por smart cards: não acessibilidade, criptografia isolada e anti-martelada.

Estas instruções passo a passo mostram-lhe como configurar um ambiente de teste básico para utilizar smart cards virtuais TPM. Depois de concluir estas instruções, terá um smart smart virtual funcional card instalado no computador Windows.

Deverá conseguir concluir estas instruções em menos de uma hora, excluindo a instalação de software e a configuração do domínio de teste.

Passos de instruções

• Pré-requisitos
• Passo 1: criar o modelo de certificado
• Passo 2: Criar a card inteligente virtual do TPM
• Passo 3: Inscrever-se no certificado no Smart Card Virtual do TPM

Importante

Esta configuração básica destina-se apenas a fins de teste. Não se destina a ser utilizado num ambiente de produção.

Pré-requisitos

Você precisará do seguinte:

• Um computador com Windows 10 com um TPM instalado e totalmente funcional (versão 1.2 ou versão 2.0)
• Um domínio de teste ao qual o computador listado acima pode ser associado
• Acesso a um servidor nesse domínio com uma autoridade de certificação (AC) totalmente instalada e em execução

Passo 1: criar o modelo de certificado

No servidor de domínio, tem de criar um modelo para o certificado que pedir para a card inteligente virtual.

Para criar o modelo de certificado

1. No servidor, abra a Consola de Gestão da Microsoft (MMC). Uma forma de o fazer é escrever mmc.exe no menu Iniciar , clicar com o botão direito do rato emmmc.exee selecionar Executar como administrador
2. SelecioneAdicionar/Remover Snap-in deFicheiro>
3. Na lista de snap-ins disponíveis, selecione Modelos de Certificado e, em seguida, selecione Adicionar
4. Os Modelos de Certificado estão agora localizados em Raiz da Consola no MMC. Faça duplo clique para ver todos os modelos de certificado disponíveis
5. Clique com o botão direito do rato no modelo início de sessão do Smartcard e selecione Duplicar Modelo
6. No separador Compatibilidade , em Autoridade de Certificação, reveja a seleção e altere-a, se necessário
7. No separador Geral :
   1. Especifique um nome, como Início de Sessão de Smart Card Virtual do TPM
   2. Defina o período de validade para o valor pretendido
8. No separador Processamento de Pedidos :
   1. Definir o Objetivo como Assinatura e início de sessão de smartcard
   2. Selecione Perguntar ao utilizador durante a inscrição
9. No separador Criptografia :
   1. Defina o tamanho mínimo da chave como 2048
   2. Selecione Os pedidos têm de utilizar um dos seguintes fornecedores e, em seguida, selecione Fornecedor de Criptografia do Smart Card Base da Microsoft
10. No separador Segurança , adicione o grupo de segurança ao qual pretende conceder acesso de Inscrição . Por exemplo, se quiser conceder acesso a todos os utilizadores, selecione o grupo Utilizadores autenticados e, em seguida, selecione Inscrever permissões para os mesmos
11. Selecione OK para finalizar as alterações e criar o novo modelo. O seu novo modelo deverá agora aparecer na lista de Modelos de Certificado
12. Selecione Ficheiro e, em seguida, selecione Adicionar/Remover Snap-in para adicionar o snap-in Autoridade de Certificação à consola MMC. Quando lhe for perguntado qual o computador que pretende gerir, selecione o computador no qual a AC está localizada, provavelmente Computador Local
13. No painel esquerdo do MMC, expanda Autoridade de Certificação (Local) e, em seguida, expanda a AC na lista Autoridade de Certificação
14. Clique com o botão direito do rato em Modelos de Certificado, selecione Novo e, em seguida, selecione Modelo de Certificado para Emitir
15. Na lista, selecione o novo modelo que criou (Início de Sessão de Smart Card Virtual do TPM) e, em seguida, selecione OK

Observação

O modelo pode demorar algum tempo a replicar para todos os servidores e a ficar disponível nesta lista.

1. Após a replicação do modelo, na MMC, clique com o botão direito do rato na lista Autoridade de Certificação, selecione Todas as Tarefas e, em seguida, selecione Parar Serviço. Em seguida, clique novamente com o botão direito do rato no nome da AC, selecione Todas as Tarefas e, em seguida, selecione Iniciar Serviço.

Passo 2: Criar a card inteligente virtual do TPM

Neste passo, vai criar a card inteligente virtual no computador cliente com a ferramenta de linha de comandos ,Tpmvscmgr.exe.

Para criar a card inteligente virtual do TPM

1. Num computador associado a um domínio, abra uma janela da Linha de Comandos com credenciais Administrativas.
2. Na linha de comandos, escreva o seguinte e, em seguida, prima ENTER:

tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

Esta ação cria um card inteligente virtual com o nome TestVSC, omite a chave de desbloqueio e gere o sistema de ficheiros no card. O PIN está definido como predefinido, 12345678.

1. Aguarde vários segundos até que o processo seja concluído. Após a conclusão, Tpmvscmgr.exe fornece o ID da instância do dispositivo para o Smart Card Virtual do TPM. Armazene este ID para referência posterior porque precisa dele para gerir ou remover o card inteligente virtual. Para ser pedido um PIN, em vez de /pin predefinido , pode escrever /pin prompt.

Para obter mais informações sobre a ferramenta de linha de comandos Tpmvscmgr, consulte Utilizar Smart Cards Virtuais e Tpmvscmgr.

Passo 3: Inscrever-se no certificado no Smart Card Virtual do TPM

O card inteligente virtual tem de ser aprovisionado com um certificado de início de sessão para que fique totalmente funcional.

Para inscrever o certificado

1. Abra a consola certificados ao escrever certmgr.msc no menu Iniciar
2. Clique com o botão direito do rato em Pessoal, selecione Todas as Tarefas e, em seguida, selecione Pedir Novo Certificado
3. Siga as instruções e, quando lhe for oferecida uma lista de modelos, selecione a caixa de marcar início de sessão do TPM Virtual Smart Card (ou o nome que deu ao modelo no Passo 1)
4. Se lhe for pedido um dispositivo, selecione o card inteligente virtual da Microsoft que corresponde ao que criou na secção anterior. É apresentado como Dispositivo de Identidade (Perfil da Microsoft)
5. Introduza o PIN que foi estabelecido quando criou a card inteligente virtual do TPM e, em seguida, selecione OK
6. Aguarde pela conclusão da inscrição e, em seguida, selecione Concluir

A card inteligente virtual pode agora ser utilizada como uma credencial alternativa para iniciar sessão no seu domínio. Para verificar se a configuração do card inteligente virtual e a inscrição de certificados foram bem-sucedidas, termine a sessão atual e, em seguida, inicie sessão. Quando iniciar sessão, verá o ícone do novo card inteligente virtual TPM no ecrã Ambiente de Trabalho Seguro (início de sessão) ou será automaticamente direcionado para a caixa de diálogo de início de sessão inteligente card do TPM. Selecione o ícone, introduza o PIN (se necessário) e, em seguida, selecione OK. Deve ter sessão iniciada na sua conta de domínio.

Consulte também

• Compreendendo e avaliando cartões inteligentes virtuais
• Utilizar Smart Cards Virtuais
• Implementar Smart Cards Virtuais