Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aviso
Windows Hello para Empresas e as chaves de segurança FIDO2 são métodos modernos de autenticação de dois fatores para Windows. Os clientes que usam cartões inteligentes virtuais são incentivados a migrar para Windows Hello para Empresas ou FIDO2. Para novas instalações do Windows, recomendamos Windows Hello para Empresas ou chaves de segurança FIDO2.
Este artigo fornece uma visão geral da tecnologia de cartão inteligente virtual.
Descrição do recurso
A tecnologia de cartão inteligente virtual oferece benefícios de segurança comparáveis aos cartões inteligentes físicos usando autenticação de dois fatores. Cartões inteligentes virtuais emulam a funcionalidade de cartões inteligentes físicos, mas usam o chip TPM (Trusted Platform Module) disponível em dispositivos. Cartões inteligentes virtuais não exigem o uso de um cartão físico inteligente e leitor separado. Você cria cartões inteligentes virtuais no TPM, onde as chaves usadas para autenticação são armazenadas em hardware protegido por criptografia.
Ao utilizar dispositivos TPM que fornecem os mesmos recursos criptográficos que os cartões inteligentes físicos, os cartões inteligentes virtuais realizam as três principais propriedades desejadas para cartões inteligentes: não exportabilidade, criptografia isolada e anti-martelada.
Aplicações práticas
Os cartões inteligentes virtuais são funcionalmente semelhantes aos cartões inteligentes físicos, aparecendo no Windows como cartões inteligentes que são sempre inseridos. Os cartões inteligentes virtuais podem ser usados para autenticação para recursos externos, proteção de dados por criptografia e integridade por meio da assinatura. Você pode implantar cartões inteligentes virtuais usando métodos internos ou uma solução comprada e eles podem ser um substituto para outros métodos de autenticação forte em uma configuração corporativa de qualquer escala.
Casos de uso de autenticação
Autenticação de dois fatores\acesso remoto de dois fatores\u2012based
Depois que um usuário tem uma cartão inteligente virtual TPM totalmente funcional, provisionada com um certificado de entrada, o certificado é usado para obter acesso autenticado aos recursos corporativos. Quando o certificado apropriado é provisionado para o cartão virtual, o usuário só precisa fornecer o PIN para o cartão inteligente virtual, como se fosse uma cartão inteligente física, para entrar no domínio.
Na prática, isso é tão fácil quanto inserir uma senha para acessar o sistema. Tecnicamente, é muito mais seguro. Usar a cartão inteligente virtual para acessar o sistema prova para o domínio que o usuário que está solicitando autenticação tem a posse do computador pessoal no qual o cartão foi provisionado e conhece o PIN de cartão inteligente virtual. Como essa solicitação não poderia ter se originado de um sistema diferente do sistema certificado pelo domínio para o acesso desse usuário, e o usuário não poderia ter iniciado a solicitação sem conhecer o PIN, uma autenticação forte de dois fatores é estabelecida.
Autenticação do cliente
Cartões inteligentes virtuais também podem ser usados para autenticação do cliente usando TLS/SSL ou uma tecnologia semelhante. Semelhante ao acesso ao domínio com um cartão inteligente virtual, um certificado de autenticação pode ser provisionado para o cartão inteligente virtual, fornecido a um serviço remoto, conforme solicitado no processo de autenticação do cliente. Isso adere aos princípios da autenticação de dois fatores porque o certificado só é acessível do computador que hospeda o cartão virtual inteligente e o usuário é obrigado a inserir o PIN para acesso inicial ao cartão.
Redirecionamento de cartão inteligente virtual para conexões de área de trabalho remota
O conceito de autenticação de dois fatores associado a cartões inteligentes virtuais depende da proximidade dos usuários com os dispositivos que eles usam para acessar o domínio. Quando você se conecta a um dispositivo que está hospedando cartões inteligentes virtuais, não é possível usar os cartões inteligentes virtuais localizados no dispositivo remoto durante a sessão remota. No entanto, você pode acessar os cartões inteligentes virtuais no dispositivo de conexão (que está sob seu controle físico), que são carregados no dispositivo remoto. Você pode usar os cartões inteligentes virtuais como se fossem instalados usando o TPM dos dispositivos remotos, estendendo seus privilégios para o dispositivo remoto, mantendo os princípios da autenticação de dois fatores.
Casos de uso de confidencialidade
Criptografia de email S/MIME
Cartões inteligentes físicos são projetados para conter chaves privadas. Você pode usar as chaves privadas para criptografia de email e descriptografia. A mesma funcionalidade existe em cartões inteligentes virtuais. Usando s/MIME com a chave pública de um usuário para criptografar email, o remetente de um email tem certeza de que apenas a pessoa com a chave privada correspondente pode descriptografar o email. Essa garantia é resultado da não exportabilidade da chave privada. Ele nunca existe ao alcance de software mal-intencionado e permanece protegido pelo TPM , mesmo durante a descriptografia.
BitLocker para volumes de dados
A tecnologia de criptografia de unidade do BitLocker usa criptografia de chave simétrica para proteger o conteúdo do disco rígido de um usuário. O BitLocker garante que, se a propriedade física de um disco rígido estiver comprometida, um adversário não poderá ler dados da unidade. A chave usada para criptografar a unidade pode ser armazenada em uma cartão virtual inteligente, que requer conhecimento do PIN de cartão inteligente virtual para acessar a unidade e a posse do dispositivo que está hospedando o cartão inteligente virtual TPM. Se a unidade for obtida sem acesso ao TPM que hospeda o cartão inteligente virtual, qualquer ataque de força bruta será difícil.
Você pode usar o BitLocker para criptografar unidades portáteis, armazenando chaves em cartões inteligentes virtuais. Nesse cenário, ao contrário de usar o BitLocker com uma cartão inteligente física, a unidade criptografada só pode ser usada quando está conectada ao dispositivo para o cartão virtual inteligente que é usado para criptografar a unidade, pois a chave BitLocker só é acessível do dispositivo. Esse método pode ser útil para garantir que a segurança das unidades de backup e do armazenamento pessoal também seja usada fora do disco rígido main.
Caso de uso de integridade de dados
Assinar dados
Para verificar a autoria dos dados, um usuário pode assiná-los usando uma chave privada armazenada na cartão virtual inteligente. As assinaturas digitais confirmam a integridade e a origem dos dados.
- Armazenar a chave em um sistema operacional acessível, usuários mal-intencionados poderiam acessá-la e usá-la para modificar dados já assinados ou falsificar a identidade do proprietário da chave
- Armazenar a chave em um cartão virtual inteligente significa que você só pode usá-la para assinar dados no dispositivo host. Você não pode exportar a chave para outros sistemas (intencionalmente ou não, como com o roubo de malware), tornando as assinaturas digitais mais seguras do que outros métodos para armazenamento de chaves privadas
Requisitos de hardware
Para usar a tecnologia de cartão inteligente virtual, o TPM 1.2 é o mínimo necessário para dispositivos que executam um sistema operacional com suporte.