Поделиться через

Начало работы с виртуальными смарт-картами: пошаговое руководство

Warning

ключи безопасности Windows Hello для бизнеса и FIDO2 — это современные двухфакторные методы проверки подлинности для Windows. Клиентам, использующим виртуальные смарт-карты, рекомендуется перейти на Windows Hello для бизнеса или FIDO2. Для новых установок Windows рекомендуется Windows Hello для бизнеса или ключи безопасности FIDO2.

В этом разделе для ИТ-специалистов описывается настройка базовой тестовой среды для использования виртуальных смарт-карт доверенного платформенного модуля.

Виртуальные смарт-карты — это технология корпорации Майкрософт, которая обеспечивает сравнимые преимущества безопасности при двухфакторной проверке подлинности с физическими смарт-картами. Они также обеспечивают больше удобства для пользователей и более низкую стоимость развертывания для организаций. Используя устройства доверенного платформенного модуля (TPM), которые предоставляют те же возможности шифрования, что и физические смарт-карты, виртуальные смарт-карты обеспечивают три ключевых свойства, необходимые смарт-картам: неэкспортируемость, изолированная криптография и защита от молотка.

В этом пошаговом руководстве показано, как настроить базовую тестовую среду для использования виртуальных смарт-карт доверенного платформенного модуля. После выполнения этого пошагового руководства на компьютере Windows будет установлена функциональная виртуальная интеллектуальная карта.

Вы сможете выполнить это пошаговое руководство менее чем за один час, за исключением установки программного обеспечения и настройки тестового домена.

Пошаговое руководство

Важно.

Эта базовая конфигурация используется только для тестовых целей. Он не предназначен для использования в рабочей среде.

Предварительные условия

Вам понадобятся:

  • Компьютер под управлением Windows 10 с установленным и полностью функциональным TPM (версия 1.2 или версия 2.0)
  • Тестовый домен, к которому можно присоединить указанный выше компьютер.
  • Доступ к серверу в этом домене с полностью установленным и работающим центром сертификации (ЦС)

Шаг 1. Создание шаблона сертификата

На сервере домена необходимо создать шаблон для сертификата, запрашиваемого для виртуальной интеллектуальной карта.

Создание шаблона сертификата

  1. На сервере откройте консоль управления (MMC). Один из способов сделать это — ввести mmc.exe в меню Пуск, щелкнуть правой кнопкой мышиmmc.exeи выбрать запуск от имени администратора.
  2. ВыберитеДобавить или удалить оснастку"Файл>"
  3. В списке доступных оснасток выберите Шаблоны сертификатов, а затем — Добавить.
  4. Шаблоны сертификатов теперь находятся в корневом каталоге консоли в MMC. Дважды щелкните его, чтобы просмотреть все доступные шаблоны сертификатов.
  5. Щелкните правой кнопкой мыши шаблон Входа смарт-карты и выберите Дублировать шаблон.
  6. На вкладке Совместимость в разделе Центр сертификации просмотрите выбранный элемент и при необходимости измените его.
  7. На вкладке Общие :
    1. Укажите имя, например Вход с виртуальной смарт-картой доверенного платформенного модуля
    2. Задайте для срока действия требуемое значение.
  8. На вкладке Обработка запросов :
    1. Задайте для параметра Назначениезначение Подпись и вход со смарт-картой
    2. Выберите Запрос пользователя во время регистрации.
  9. На вкладке Шифрование выполните следующие действия.
    1. Задайте для минимального размера ключа значение 2048.
    2. Выберите Запросы должны использовать один из следующих поставщиков, а затем выберите Microsoft Base Smart Card Crypto Provider
  10. На вкладке Безопасность добавьте группу безопасности, к которой вы хотите предоставить доступ для регистрации . Например, если вы хотите предоставить доступ всем пользователям, выберите группу Пользователи, прошедшие проверку подлинности , а затем выберите Регистрация разрешений для них.
  11. Нажмите кнопку ОК , чтобы завершить изменения и создать новый шаблон. Теперь новый шаблон должен появиться в списке шаблонов сертификатов.
  12. Выберите Файл, а затем — Добавить или удалить оснастку , чтобы добавить оснастку Центра сертификации в консоль MMC. При запросе компьютера, которым вы хотите управлять, выберите компьютер, на котором расположен ЦС(возможно, локальный компьютер).
  13. В левой области MMC разверните узел Центр сертификации (локальный) и разверните центр сертификации в списке Центров сертификации.
  14. Щелкните правой кнопкой мыши Шаблоны сертификатов, выберите Создать, а затем выберите Шаблон сертификата для выдачи.
  15. В списке выберите созданный шаблон (вход с виртуальной смарт-картой доверенного платформенного модуля) и нажмите кнопку ОК.

Примечание.

Чтобы реплицировать шаблон на все серверы и стать доступным в этом списке, может потребоваться некоторое время.

  1. После репликации шаблона в MMC щелкните правой кнопкой мыши список Центр сертификации, выберите Все задачи, а затем выберите Остановить службу. Затем снова щелкните правой кнопкой мыши имя ЦС, выберите Все задачи, а затем — Запустить службу.

Шаг 2. Создание виртуальной интеллектуальной карта доверенного платформенного модуля

На этом шаге вы создадите виртуальную интеллектуальную карта на клиентском компьютере с помощью средства командной строки Tpmvscmgr.exe.

Создание виртуальной интеллектуальной карта доверенного платформенного модуля

  1. На присоединенном к домену компьютере откройте окно командной строки с учетными данными администратора.
  2. В командной строке введите следующее и нажмите клавишу ВВОД:

tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

При этом создается виртуальная интеллектуальная карта с именем TestVSC, опускается ключ разблокировки и создается файловая система на карта. Для ПИН-кода задано значение по умолчанию, 12345678.

  1. Подождите несколько секунд, пока процесс завершится. По завершении Tpmvscmgr.exe предоставляет идентификатор экземпляра устройства для виртуальной смарт-карты доверенного платформенного модуля. Сохраните этот идентификатор для последующего использования, так как он нужен для управления виртуальным интеллектуальным карта или удаления его. Чтобы получить запрос на ввод ПИН-кода, вместо параметра /pin по умолчанию можно ввести /pin prompt.

Дополнительные сведения о средстве командной строки Tpmvscmgr см. в разделе Использование виртуальных смарт-карт и Tpmvscmgr.

Шаг 3. Регистрация для получения сертификата на виртуальной смарт-карте доверенного платформенного модуля

Виртуальный интеллектуальный карта должен быть подготовлен с помощью сертификата входа, чтобы он был полностью функциональным.

Регистрация сертификата

  1. Откройте консоль "Сертификаты", введя certmgr.msc в меню "Пуск"
  2. Щелкните правой кнопкой мыши Личный, выберите Все задачи, а затем — Запросить новый сертификат.
  3. Следуйте инструкциям и при появлении списка шаблонов выберите поле Проверка входа с виртуальной смарт-картой доверенного платформенного модуля (или любое имя шаблона на шаге 1).
  4. При появлении запроса на ввод устройства выберите виртуальную смарт-карта Майкрософт, соответствующую созданной в предыдущем разделе. Он отображается как устройство идентификации (профиль Майкрософт)
  5. Введите ПИН-код, который был установлен при создании виртуального смарт-карта доверенного платформенного модуля, а затем нажмите кнопку ОК.
  6. Дождитесь завершения регистрации, а затем нажмите кнопку Готово.

Виртуальный интеллектуальный карта теперь можно использовать в качестве альтернативных учетных данных для входа в домен. Чтобы убедиться, что конфигурация виртуальной интеллектуальной карта и регистрация сертификата успешно завершены, выйдите из текущего сеанса, а затем выполните вход. При входе вы увидите значок нового виртуального смарт-карта доверенного платформенного модуля на экране Secure Desktop (вход) или автоматически перейдете в диалоговое окно смарт-карта входа доверенного платформенного модуля. Щелкните значок, введите ПИН-код (при необходимости) и нажмите кнопку ОК. Вы должны войти в учетную запись домена.

См. также