Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Warning
ключи безопасности Windows Hello для бизнеса и FIDO2 — это современные двухфакторные методы проверки подлинности для Windows. Клиентам, использующим виртуальные смарт-карты, рекомендуется перейти на Windows Hello для бизнеса или FIDO2. Для новых установок Windows рекомендуется Windows Hello для бизнеса или ключи безопасности FIDO2.
В этой статье рассматриваются факторы, которые следует учитывать при развертывании виртуального решения интеллектуальной карта проверки подлинности.
Традиционные устройства идентификации, такие как физические смарт-карты, следуют прогнозируемому жизненному циклу в любом развертывании, как показано на следующей схеме.
Производитель устройства создает физические устройства, а затем организация приобретает и развертывает их. Устройство проходит этап персонализации, где задаются его уникальные свойства. В смарт-картах такими свойствами являются ключ администратора, личный идентификационный номер (ПИН-код),ключ разблокировки ПИН-кода (PUK) и его физический вид. На этапе подготовки устройства устанавливаются необходимые сертификаты, например сертификат входа. После подготовки устройства оно будет готово к использованию. Вы будете поддерживать устройство, например вы можете заменить карты, когда они потеряны или украдены, или сбросить ПИН-коды, когда пользователи забудут их. Наконец, устройства будут выведены из эксплуатации, когда они превысят свой срок жизни или когда сотрудники покинут компанию.
В этом разделе содержатся сведения о следующих этапах жизненного цикла виртуальной интеллектуальной карта:
- Создание и персонализация виртуальных смарт-карт
- Подготовка виртуальных смарт-карт
- Обслуживание виртуальных смарт-карт
Создание и персонализация виртуальных смарт-карт
Корпорация приобретает устройства для развертывания. Устройство проходит этап персонализации, где задаются его уникальные свойства. В смарт-картах такими свойствами являются ключ администратора, личный идентификационный номер (ПИН-код), ключ разблокировки ПИН-кода (PUK) и его физический вид. Безопасность, предоставляемая для виртуального интеллектуального карта доверенного платформенного модуля, полностью подготовлена в TPM узла.
Готовность доверенного платформенного модуля
Мастер подготовки доверенного платформенного модуля, который запускается из консоли управления TPM, выполняет все действия по подготовке доверенного платформенного модуля к использованию.
При создании виртуальных смарт-карт учитывайте следующие действия в TPM:
- Включение и активация. TTPM встроены во многие устройства. В некоторых случаях доверенный платформенный модуль должен быть включен и активирован с помощью BIOS.
- Взять на себя ответственность. При подготовке доверенного платформенного модуля вы задаете пароль владельца для управления доверенным платформым модулем в будущем и устанавливаете корневой ключ хранилища. Чтобы обеспечить защиту виртуальных смарт-карт, пользователь или администратор домена должны иметь возможность сбросить пароль владельца доверенного платформенного модуля. Для корпоративного использования виртуальных смарт-карт доверенного платформенного модуля администратор домена должен ограничить доступ к паролю владельца доверенного платформенного модуля, сохранив его в Active Directory, а не в локальном реестре. Если задано владение доверенным платформенным платформой, необходимо очистить и повторно инициализировать TPM.
- Управление. Вы можете управлять владением виртуальной интеллектуальной карта путем изменения пароля владельца, а также управлять логикой защиты от ударов, сбросив время блокировки.
TPM может работать в режиме ограниченной функциональности, что может произойти, если операционная система не может определить, доступен ли пользователю пароль владельца. В режиме уменьшения функциональности можно использовать TPM для создания виртуальной интеллектуальной карта, но предпочтительнее привести TPM в состояние полной готовности, чтобы при любых непредвиденных обстоятельствах пользователь не мог использовать устройство.
Эти интеллектуальные карта средства управления развертыванием, которым требуется проверка состояния доверенного платформенного модуля, прежде чем пытаться создать виртуальный интеллектуальный карта доверенного платформенного модуля, можно сделать это с помощью интерфейса WMI доверенного платформенного модуля.
В зависимости от настройки устройства, предназначенного для установки виртуальных смарт-карт доверенного платформенного модуля, может потребоваться подготовить TPM, прежде чем продолжить развертывание виртуальной интеллектуальной карта. Дополнительные сведения о подготовке см. в разделе Использование виртуальных смарт-карт.
Дополнительные сведения об управлении TPM с помощью встроенных средств см. в разделе Доверенные службы модулей платформы групповая политика параметры.
Создание
Виртуальный интеллектуальный карта доверенного платформенного модуля имитирует физический интеллектуальный карта, используя доверенный платформенный модуль для обеспечения той же функциональности, что и физические интеллектуальные карта оборудования.
Виртуальная интеллектуальная карта отображается в операционной системе как физический интеллектуальный карта, который всегда вставляется. Windows представляет виртуальное средство чтения смарт-карта и виртуальную интеллектуальную карта для приложений, использующих тот же интерфейс, что и физические смарт-карты. Сообщения в виртуальную интеллектуальную карта и из нее преобразуются в команды доверенного платформенного модуля, обеспечивая целостность виртуального интеллектуального карта с помощью трех свойств интеллектуальной карта безопасности:
- Неэкспортируемость. Так как вся частная информация на виртуальной интеллектуальной карта шифруется с помощью доверенного платформенного модуля на хост-компьютере, ее нельзя использовать на другом компьютере с другим доверенным платформенный платформенный модуль. Кроме того, TTPM предназначены для защиты от незаконного изменения и неэкспортируемых, поэтому злоумышленник не может перепроектировать идентичный доверенный платформенный модуль или установить тот же TPM на другом компьютере. Дополнительные сведения см. в статье Оценка безопасности виртуальных смарт-карт.
- Изолированная криптография. TTPM предоставляют те же свойства изолированной криптографии, что и физические смарт-карты, которые используются виртуальными смарт-картами. Незашифрованные копии закрытых ключей загружаются только в TPM и никогда не загружаются в память, доступную операционной системе. Все криптографические операции с этими закрытыми ключами выполняются внутри доверенного платформенного модуля.
- Защита от молотка. Если пользователь неправильно вводит ПИН-код, виртуальная интеллектуальная карта отвечает с помощью логики защиты от молотка доверенного платформенного модуля, которая в течение некоторого времени отклоняет дальнейшие попытки вместо блокировки карта. Это также называется блокировкой. Дополнительные сведения см. в разделах Заблокированные виртуальные смарт-карта и Оценка безопасности виртуальных смарт-карт.
Существует несколько вариантов создания виртуальных смарт-карт в зависимости от размера развертывания и бюджета организации. Самая низкая стоимость — это использование tpmvscmgr.exe для создания карточек по отдельности на компьютерах пользователей. Кроме того, можно приобрести решение для управления виртуальными интеллектуальными карта, чтобы упростить создание виртуальных интеллектуальных карта в более крупном масштабе и помочь на последующих этапах развертывания. Виртуальные смарт-карты можно создать на компьютерах, которые должны быть подготовлены для сотрудника, или на компьютерах, которые уже находятся в распоряжении сотрудника. При любом подходе должен быть централизованный контроль над персонализацией и подготовкой. Если компьютер предназначен для использования несколькими сотрудниками, на компьютере можно создать несколько виртуальных смарт-карт.
Сведения о средстве командной строки виртуальной смарт-карты доверенного платформенного модуля см. в разделе Tpmvscmgr.
Персонализация
Во время персонализации виртуальных смарт-карта назначаются значения для ключа администратора, ПИН-кода и PUK. Как и в случае с физическим карта, знание ключа администратора важно для сброса ПИН-кода или удаления карта в будущем. (Если вы задали PUK, вы не сможете использовать ключ администратора для сброса ПИН-кода.)
Так как ключ администратора имеет решающее значение для безопасности карта, важно рассмотреть среду развертывания и выбрать правильную стратегию настройки ключей администратора. Возможные варианты этих стратегий:
- Универсальный. Ключи администратора для всех виртуальных смарт-карт, развернутых в организации, одинаковы. Хотя использование одного и того же ключа упрощает инфраструктуру обслуживания (необходимо сохранить только один ключ), она очень небезопасна. Эта стратегия может быть достаточной для небольших организаций, но если ключ администратора скомпрометирован, все виртуальные смарт-карты, использующие ключ, должны быть повторно выпущены.
- Случайные, не сохраненные. Ключи администратора назначаются случайным образом для всех виртуальных смарт-карт и не записываются. Это допустимый вариант, если администраторам развертывания не требуется возможность сброса ПИН-кодов, а вместо этого они предпочитают удалять и перевыпускать виртуальные смарт-карты. Это жизнеспособная стратегия, если администратор предпочитает задать значения PUK для виртуальных смарт-карт, а затем использовать это значение для сброса ПИН-кодов, если это необходимо.
- Случайный, хранимый: ключи администратора назначаются случайным образом, сохраняя их в центральном расположении. Безопасность каждого карта не зависит от других. Это безопасная стратегия в большом масштабе, если база данных ключей администратора не скомпрометирована.
- Детерминированные. Ключи администратора являются результатом выполнения некоторых функций или известных сведений. Например, идентификатор пользователя можно использовать для случайного создания данных, которые можно дополнительно обработать с помощью симметричного алгоритма шифрования с помощью секрета. Этот ключ администратора можно также повторно создать при необходимости, и его не требуется хранить. Безопасность этого метода зависит от безопасности используемого секрета.
Хотя ключевые методологии PUK и администратора предоставляют функции разблокировки и сброса, они делают это разными способами. PUK — это ПИН-код, который вводится на компьютере для сброса ПИН-кода пользователя.
В ключевой методологии администратора используется подход "вызов — ответ". Карта предоставляет набор случайных данных после того, как пользователи проверят свою личность администратору развертывания. Затем администратор шифрует данные с помощью ключа администратора и передает зашифрованные данные пользователю. Если зашифрованные данные совпадают с данными, созданными карта во время проверки, карта разрешает сброс ПИН-кода. Так как ключ администратора никогда не доступен никому, кроме администратора развертывания, он не может быть перехвачен или записан любой другой стороной (включая сотрудников). Это обеспечивает значительные преимущества в области безопасности, помимо использования PUK, что важно учитывать во время процесса персонализации.
Виртуальные смарт-карты доверенного платформенного модуля можно персонализировать отдельно при создании с помощью средства командной строки Tpmvscmgr. Кроме того, организации могут приобрести решение для управления, которое может включить персонализацию в автоматизированную подпрограмму. Еще одним преимуществом такого решения является автоматическое создание ключей администратора. Tpmvscmgr.exe позволяет пользователям создавать собственные ключи администратора, что может нанести ущерб безопасности виртуальных смарт-карт.
Подготовка виртуальных смарт-карт
Подготовка — это процесс загрузки определенных учетных данных в виртуальный интеллектуальный карта доверенного платформенного модуля. Эти учетные данные состоят из сертификатов, созданных для предоставления пользователям доступа к определенной службе, например к входу в домен. На каждой виртуальной интеллектуальной карта допускается не более 30 сертификатов. Как и в случае с физическими смарт-картами, необходимо принять несколько решений в отношении стратегии подготовки на основе среды развертывания и требуемого уровня безопасности.
Высокий уровень надежности безопасной подготовки требует абсолютной уверенности в личности лица, получающего сертификат. Таким образом, одним из методов подготовки с высоким уровнем надежности является использование ранее подготовленных надежных учетных данных, таких как физический интеллектуальный карта, для проверки удостоверения во время подготовки. Личная проверка правописания на станциях регистрации является еще одним вариантом, потому что человек может легко и безопасно доказать свою личность с помощью паспорта или водительских удостоверений, хотя это может стать неосуществимым в более широком масштабе. Чтобы достичь аналогичного уровня уверенности, крупная организация может реализовать стратегию регистрации от имени, в которой сотрудники регистрируются со своими учетными данными начальником, который может лично проверить их удостоверения. Это создает цепочку доверия, которая гарантирует, что пользователи лично проверяются на соответствие предлагаемым удостоверениям, но без административной нагрузки при подготовке всех виртуальных смарт-карт из одной центральной станции регистрации.
Для развертываний, в которых высокий уровень надежности не является основной задачей, можно использовать решения самообслуживания. Это может быть использование веб-портала для получения учетных данных или просто регистрация сертификатов с помощью диспетчера сертификатов в зависимости от развертывания. Учтите, что проверка подлинности виртуальных смарт-карта так же сильна, как и метод подготовки. Например, если для запроса сертификата проверки подлинности используются ненадежные учетные данные домена (например, только пароль), проверка подлинности виртуальных смарт-карта будет эквивалентна использованию только пароля, а преимущества двухфакторной проверки подлинности будут потеряны.
Сведения об использовании диспетчера сертификатов для настройки виртуальных смарт-карт см. в статье Начало работы с виртуальными смарт-картами: пошаговое руководство.
Решения с высоким уровнем надежности и самообслуживания подходили к подготовке виртуальных смарт-карта, предполагая, что компьютер пользователя был выдан до развертывания виртуальной интеллектуальной карта, но это не всегда так. Если виртуальные смарт-карты развертываются на новых компьютерах, их можно создавать, персонализировать и подготавливать на компьютере до того, как пользователь свяжется с этим компьютером.
В этой ситуации подготовка становится относительно простой, но необходимо провести проверку личности, чтобы убедиться, что получателем компьютера является лицо, которого ожидали во время подготовки. Это можно сделать, требуя от сотрудника задать первоначальный ПИН-код под контролем администратора развертывания или руководителя.
При подготовке компьютеров следует также учитывать срок действия учетных данных, предоставляемых для виртуальных смарт-карт. Этот выбор должен основываться на пороговом значении риска организации. Хотя учетные данные с более длительным сроком существования более удобны, они также с большей вероятностью будут скомпрометированы во время их существования. Чтобы определить время существования учетных данных, стратегия развертывания должна учитывать уязвимость их шифрования (сколько времени может занять взлом учетных данных) и вероятность атаки.
Для скомпрометированных виртуальных смарт-карт администраторы должны иметь возможность отзывать связанные учетные данные, как и при потере или краже ноутбука. Для отзыва учетных данных требуется запись о том, какие учетные данные соответствуют пользователю и устройству, но эти функции изначально не существуют в Windows. Администраторы развертывания могут захотеть рассмотреть дополнительные решения для ведения записей.
Виртуальные смарт-карты на потребительских устройствах, используемых для корпоративного доступа
Существуют методы, позволяющие сотрудникам подготавливать виртуальные смарт-карты и регистрировать сертификаты, которые можно использовать для проверки подлинности пользователей. Это полезно, когда сотрудники пытаются получить доступ к корпоративным ресурсам с устройств, которые не присоединены к корпоративному домену. Эти устройства можно дополнительно определить так, чтобы пользователи не могли скачивать и запускать приложения из источников, отличных от Microsoft Store.
API можно использовать для создания приложений Microsoft Store, которые можно использовать для управления полным жизненным циклом виртуальных смарт-карт. Дополнительные сведения см. в статье Создание и удаление виртуальных смарт-карт программным способом.
Владелец доверенного платформенного модуляAuth в реестре
Если устройство или компьютер не присоединены к домену, владелец доверенного платформенного модуляAuth сохраняется в реестре в HKEY_LOCAL_MACHINE. Это открывает некоторые угрозы. Большинство векторов угроз защищены BitLocker, но угрозы, которые не защищены:
- Злоумышленник владеет устройством, которое имеет активный сеанс локального входа перед блокировкой устройства. Злоумышленник может попытаться атаковать метод подбора на виртуальный смарт-карта ПИН-код, а затем получить доступ к корпоративным секретам.
- Злоумышленник имеет устройство с активным сеансом виртуальной частной сети (VPN). Затем устройство скомпрометировано
В предыдущих сценариях предлагается использовать политики Exchange ActiveSync (EAS), чтобы сократить время автоматической блокировки с пяти минут до 30 секунд бездействия. Вы можете настроить политики для автоматической блокировки при подготовке виртуальных смарт-карт. Если организации требуется больше безопасности, она также может настроить параметр для удаления ownerAuth с локального устройства.
Сведения о конфигурации раздела реестра ownerAuth доверенного платформенного модуля см. в разделе параметр групповая политика Настройка уровня сведений об авторизации владельца доверенного платформенного модуля, доступных операционной системе.
Сведения о политиках EAS см. в разделе Общие сведения о подсистеме политик Exchange ActiveSync.
Управляемые и неуправляемые карточки
В следующей таблице описаны важные различия между управляемыми и неуправляемными виртуальными смарт-картами, которые существуют на потребительских устройствах.
| Действие | Управляемые и неуправляемые карточки | Неуправляемые карточки |
|---|---|---|
| Сброс ПИН-кода, когда пользователь забыл ПИН-код | Да | Нет. Удалите и повторно создайте карта. |
| Разрешить пользователю изменять ПИН-код | Да | Нет. Удалите и повторно создайте карта. |
Управляемые карточки
Управляемый виртуальный интеллектуальный карта может обслуживаться ИТ-администратором или другим лицом в указанной роли. Это позволяет ИТ-администратору влиять или полностью контролировать конкретные аспекты виртуальной интеллектуальной карта от ее создания до удаления. Для управления этими картами часто требуется средство управления развертыванием виртуальных смарт-карта.
Создание управляемых карта
Пользователь может создать пустой виртуальный интеллектуальный карта с помощью средства командной строки Tpmvscmgr, которое является встроенным средством, которое выполняется с учетными данными администратора с помощью командной строки с повышенными привилегиями. Виртуальная интеллектуальная карта должна быть создана с хорошо известными параметрами (например, значениями по умолчанию) и не отформатирована (в частности, параметр /generate не должен быть указан).
Следующая команда создает виртуальную интеллектуальную карта, которой в дальнейшем можно управлять с помощью средства управления интеллектуальной карта, запущенного с другого компьютера (как описано в следующем разделе):
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey DEFAULT /PIN PROMPT
Кроме того, вместо использования ключа администратора по умолчанию пользователь может ввести ключ администратора в командной строке:
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey PROMPT /PIN PROMPT
В любом случае система управления карта должна знать о первоначальном ключе администратора. Требование заключается в том, чтобы система управления карта могла владеть виртуальной интеллектуальной карта и изменить ключ администратора на значение, доступное только через средство управления карта, управляемое ИТ-администратором. Например, если вы используете значение по умолчанию, ключ администратора имеет значение :
10203040506070801020304050607080102030405060708
Сведения об использовании этого средства командной строки см. в разделе Tpmvscmgr.
Управляемое управление карта
После создания виртуальной интеллектуальной карта пользователь должен открыть подключение к удаленному рабочему столу к станции регистрации, например на компьютере, присоединенном к домену. Виртуальные смарт-карты, связанные с клиентским компьютером, доступны для использования в подключении к удаленному рабочему столу. Пользователь может открыть средство управления карта в удаленном сеансе, которое может стать владельцем карта и подготовить его для использования пользователем. Для этого пользователю разрешено установить подключение к удаленному рабочему столу с компьютера, не присоединенного к домену, к компьютеру, присоединенном к домену. Для этого может потребоваться определенная конфигурация сети, например с помощью политик IPsec.
Когда пользователям необходимо сбросить или изменить ПИН-код, они должны использовать подключение к удаленному рабочему столу для выполнения этих операций. Они могут использовать встроенные средства для разблокировки ПИН-кода и изменения ПИН-кода или средство управления интеллектуальной карта.
Управление сертификатами для управляемых карточек
Как и физические смарт-карты, виртуальные смарт-карты требуют регистрации сертификата.
Выдача сертификата
Пользователи могут зарегистрироваться для получения сертификатов из сеанса удаленного рабочего стола, установленного для подготовки карта. Этот процесс также может управляться с помощью средства управления интеллектуальной карта, которое пользователь выполняет через подключение к удаленному рабочему столу. Эта модель работает для развертываний, в которых пользователю требуется подписать запрос на регистрацию с помощью физического интеллектуального карта. Драйвер для физического интеллектуального карта не требуется устанавливать на клиентском компьютере, если он установлен на удаленном компьютере. Это становится возможным благодаря функции перенаправления смарт-карта, которая гарантирует, что смарт-карты, подключенные к клиентскому компьютеру, будут доступны для использования во время удаленного сеанса.
Кроме того, без подключения к удаленному рабочему столу пользователи могут зарегистрироваться для получения сертификатов из консоли управления сертификатами (certmgr.msc) на клиентском компьютере. Пользователи также могут создать запрос и отправить его на сервер в пользовательском приложении регистрации сертификатов (например, в центре регистрации), которое контролирует доступ к центру сертификации (ЦС). Для этого требуется определенная корпоративная конфигурация и развертывание политик регистрации сертификатов (CEP) и служб регистрации сертификатов (CES).
Управление жизненным циклом сертификатов
Сертификаты можно обновить с помощью подключений к удаленному рабочему столу, политик регистрации сертификатов или служб регистрации сертификатов. Требования к продлению могут отличаться от первоначальных требований к выдаче в зависимости от политики продления.
Отзыв сертификата требует тщательного планирования. Когда сведения об отзываемом сертификате надежно доступны, конкретный сертификат можно легко отозвать. Если сведения об отозванных сертификатах непросто определить, все сертификаты, выданные пользователю в соответствии с политикой, которая использовалась для выдачи сертификата, может потребоваться отозвать. Например, это может произойти, если сотрудник сообщает об утерянном или скомпрометированном устройстве, а сведения, связывающие устройство с сертификатом, недоступны.
Неуправляемые карточки
ИТ-администратор не может обслуживать неуправляемые виртуальные смарт-карты. Неуправляемые карточки могут подойти, если в организации нет сложного интеллектуального средства управления развертыванием карта и использование подключений к удаленному рабочему столу для управления карта нежелательно. Так как неуправляемые карточки не могут обслуживаться ИТ-администратором, когда пользователю нужна помощь с виртуальным смарт-карта (например, сброс или разблокировка ПИН-кода), единственным доступным для пользователя вариантом является удаление карта и его повторное создание. Это приводит к потере учетных данных пользователя, и он или она должны повторно зарегистрироваться.
Создание неуправляемых карта
Пользователь может создать виртуальную интеллектуальную карта с помощью средства командной строки Tpmvscmgr, которое запускается с учетными данными администратора в командной строке с повышенными привилегиями. Следующая команда создает неуправляемую карта, которую можно использовать для регистрации сертификатов:
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey RANDOM /PIN PROMPT /generate
Эта команда создает карта с случайным ключом администратора. Ключ автоматически отбрасывается после создания карта. Если пользователи забывают или хотят изменить СВОЙ ПИН-код, им необходимо удалить карта и создать его снова. Чтобы удалить карта, пользователь может выполнить следующую команду:
tpmvscmgr.exe destroy /instance <instance ID>
где <instance ID> — это значение, которое отображается на экране, когда пользователь создает карта. В частности, для первого созданного карта идентификатор экземпляра — ROOT\SMARTCARDREADER\0000.
Управление сертификатами для неуправляемых карточек
В зависимости от требований безопасности, которые являются уникальными для организации, пользователи могут первоначально зарегистрироваться для получения сертификатов из консоль управления сертификата (certmgr.msc) или из пользовательских приложений регистрации сертификатов. Последний метод может создать запрос и отправить его на сервер, имеющий доступ к центру сертификации. Для этого требуются определенные организационные конфигурации и развертывания для политик регистрации сертификатов и служб регистрации сертификатов. В Windows есть встроенные средства, в частности Certreq.exe и Certutil.exe, которые могут использоваться скриптами для регистрации из командной строки.
Запрос сертификата путем предоставления только учетных данных домена
Самый простой способ запроса сертификатов для пользователей — предоставить учетные данные домена с помощью скрипта, который может выполнить регистрацию с помощью встроенных компонентов, которые у вас есть для запросов сертификатов.
Кроме того, приложение (например, бизнес-приложение) можно установить на компьютере для регистрации путем создания запроса на клиент. Запрос отправляется на HTTP-сервер, который может пересылать его в центр регистрации.
Другой вариант — предоставить пользователю доступ к порталу регистрации, который доступен через Интернет Обозреватель. Веб-страница может использовать API-интерфейсы сценариев для регистрации сертификатов.
Подписывание запроса с помощью другого сертификата
Вы можете предоставить пользователям краткосрочный сертификат с помощью PFX-файла обмена персональными данными. PFX-файл можно создать, инициировав запрос с компьютера, присоединенного к домену. Вы можете применить другие ограничения политики к PFX-файлу, чтобы подтвердить удостоверение пользователя.
Пользователь может импортировать сертификат в хранилище MY (которое является хранилищем сертификатов пользователя). Ваша организация может представить пользователю скрипт, который можно использовать для подписи запроса на краткосрочный сертификат и запроса виртуальной интеллектуальной карта.
Для развертываний, требующих от пользователей использования физического интеллектуального карта для подписания запроса на сертификат, можно использовать следующую процедуру:
- Пользователи инициируют запрос на присоединенном к домену компьютере
- Пользователи выполняют запрос с помощью физического интеллектуального карта для подписания запроса
- Пользователи скачивают запрос в виртуальную интеллектуальную карта на клиентском компьютере.
Использование одноразового пароля для регистрации
Еще один способ убедиться, что пользователи проходят остоверяющую проверку подлинности перед выдачей сертификатов виртуальной смарт-карта, — отправить пользователю одноразовый пароль через SMS, электронную почту или телефон. Затем пользователь вводит одноразовый пароль во время регистрации сертификата из приложения или скрипта на рабочем столе, который вызывает встроенные средства командной строки.
Управление жизненным циклом сертификатов. Обновление сертификата можно выполнить с помощью средств, которые используются для первоначальной регистрации сертификата. Политики регистрации сертификатов и службы регистрации сертификатов также можно использовать для автоматического продления.
Отзыв сертификата требует тщательного планирования. Когда сведения об отзываемом сертификате надежно доступны, конкретный сертификат можно легко отозвать. Когда сведения об отозванных сертификатах непросто определить, все сертификаты, выданные пользователю в соответствии с политикой, которая использовалась для выдачи сертификата, может потребоваться отозвать. Например, если сотрудник сообщает об утерянном или скомпрометированном устройстве, а сведения, связывающие устройство с сертификатом, недоступны.
Обслуживание виртуальных смарт-карт
Обслуживание — это значительная часть жизненного цикла виртуальной интеллектуальной карта и один из наиболее важных аспектов с точки зрения управления. После создания, персонализации и подготовки виртуальных смарт-карт их можно использовать для удобной двухфакторной проверки подлинности. Администраторы развертывания должны знать о нескольких распространенных сценариях администрирования, к которым можно обратиться с помощью приобретенного решения виртуальной интеллектуальной карта или в индивидуальном порядке с помощью внутренних методов.
Продление. Обновление учетных данных виртуальной интеллектуальной карта — это обычная задача, необходимая для обеспечения безопасности развертывания виртуальной интеллектуальной карта. Продление — это результат подписанного запроса от пользователя, который указывает пару ключей, требуемую для новых учетных данных. В зависимости от выбора пользователя или спецификации развертывания пользователь может запросить учетные данные с той же парой ключей, что и ранее, или выбрать только что созданную пару ключей.
При обновлении с использованием ранее использованного ключа никаких дополнительных действий не требуется, так как во время первоначальной подготовки был выдан надежный сертификат с этим ключом. Однако, когда пользователь запрашивает новую пару ключей, необходимо выполнить те же действия, которые использовались во время подготовки, чтобы обеспечить надежность учетных данных. Обновление с новыми ключами должно периодически выполняться для противодействия изощренным долгосрочным попыткам злоумышленников проникнуть в систему. При назначении новых ключей необходимо убедиться, что новые ключи используются ожидаемыми пользователями на тех же виртуальных смарт-картах.
Сброс ПИН-кодов. Сброс пин-кодов виртуальных смарт-карта также является частой необходимостью, так как сотрудники забывают свои ПИН-коды. Это можно сделать двумя способами в зависимости от выбора, сделанного ранее в развертывании: использовать PUK (если PUK задан) или использовать подход "запрос — ответ" с ключом администрирования. Прежде чем сбрасывать ПИН-код, удостоверение пользователя должно быть проверено с помощью некоторых средств, отличных от карта. Скорее всего, метод проверки, который вы использовали во время первоначальной подготовки (например, личное правописание). Это необходимо в сценариях с ошибками пользователя, когда пользователи забывают свои ПИН-коды. Однако никогда не следует сбрасывать ПИН-код, если он был скомпрометирован, так как уровень уязвимости после предоставления ПИН-кода трудно определить. Необходимо переиздать весь карта.
Сброс блокировки. Частым предвестником сброса ПИН-кода является необходимость сброса времени блокировки доверенного платформенного модуля, так как логика защиты доверенного платформенного модуля будет задействована с несколькими сбоями ввода ПИН-кода для виртуальной интеллектуальной карта. В настоящее время это зависит от устройства.
Списание карточек. Последний аспект управления виртуальными смарт-карта — это снятие с учета карт, когда они больше не нужны. Когда сотрудник покидает компанию, желательно отозвать доступ к домену. Отзыв учетных данных для входа из центра сертификации (ЦС) достигает этой цели.
Карта следует переиздать, если тот же компьютер используется другими сотрудниками без переустановки операционной системы. Повторное использование бывшего карта может позволить бывшему сотруднику изменить ПИН-код после выхода из организации, а затем захватить сертификаты, принадлежащие новому пользователю, чтобы получить несанкционированный доступ к домену. Однако если сотрудник принимает виртуальный компьютер с поддержкой смарт-карта, необходимо только отозвать сертификаты, хранящиеся на виртуальной интеллектуальной карта.
Готовность к чрезвычайным ситуациям
Перевыпись карточки
Наиболее распространенным сценарием в организации является перевыписывание виртуальных смарт-карт, что может потребоваться, если операционная система переустановлена или если виртуальный интеллектуальный карта каким-либо образом скомпрометирован. Переиздания — это, по сути, воссоздание карта, которое включает в себя установку нового ПИН-кода и ключа администратора и подготовку нового набора связанных сертификатов. Это является настоятельной необходимостью при компрометации карта, например, если виртуальный компьютер, защищенный интеллектуальной карта, предоставляется злоумышленнику, который может иметь доступ к правильному ПИН-коду. Reissuance — это наиболее безопасный ответ на неизвестное раскрытие конфиденциальности карта. Кроме того, повторное использование необходимо после переустановки операционной системы, так как при переустановке операционной системы удаляется виртуальный интеллектуальный карта профиль устройства со всеми другими данными пользователя.
Заблокированные виртуальные интеллектуальные карта
Поведение виртуальной интеллектуальной карта доверенного платформенного модуля отличается от поведения физического интеллектуального карта. Физический интеллектуальный карта блокирует себя после того, как пользователь несколько раз вводит неправильный ПИН-код. Виртуальный смарт-карта доверенного платформенного модуля вводит задержку по времени после того, как пользователь несколько раз вводит неправильный ПИН-код. Если TPM находится в режиме задержки по времени, при попытке пользователя использовать виртуальный интеллектуальный карта доверенного платформенного модуля пользователь получает уведомление о том, что карта заблокирован. Кроме того, если включить встроенную функцию разблокировки, пользователь сможет увидеть пользовательский интерфейс для разблокировки виртуальной интеллектуальной карта и изменить ПИН-код. Разблокировка виртуальной интеллектуальной карта не сбрасывает блокировку доверенного платформенного модуля. Пользователю необходимо выполнить дополнительный шаг, чтобы сбросить блокировку доверенного платформенного модуля или дождаться истечения времени задержки.
Дополнительные сведения о настройке политики Разрешить встроенную разблокировку см. в разделе Разрешить отображение встроенного экрана разблокировки во время входа.