Общие сведения о виртуальных смарт-картах
Warning
ключи безопасности Windows Hello для бизнеса и FIDO2 — это современные двухфакторные методы проверки подлинности для Windows. Клиентам, использующим виртуальные смарт-карты, рекомендуется перейти на Windows Hello для бизнеса или FIDO2. Для новых установок Windows рекомендуется Windows Hello для бизнеса или ключи безопасности FIDO2.
В этой статье представлен обзор технологии виртуальных интеллектуальных карта.
Описание компонента
Технология виртуальных смарт-карта обеспечивает сравнимые преимущества безопасности с физическими смарт-картами, используя двухфакторную проверку подлинности. Виртуальные смарт-карты имитируют функциональные возможности физических смарт-карт, но они используют микросхему доверенного платформенного модуля (TPM), доступную на устройствах. Виртуальные смарт-карты не требуют использования отдельного физического интеллектуального карта и средства чтения. Виртуальные смарт-карты создаются в TPM, где ключи, используемые для проверки подлинности, хранятся на защищенном криптографически оборудовании.
Используя устройства доверенного платформенного модуля, которые предоставляют те же возможности шифрования, что и физические смарт-карты, виртуальные смарт-карты обеспечивают три ключевых свойства, необходимых для смарт-карт: неэкспортируемость, изолированное шифрование и защита от молотка.
Практическое применение
Виртуальные смарт-карты функционально похожи на физические смарт-карты, которые отображаются в Windows в виде смарт-карт, которые всегда вставляются. Виртуальные смарт-карты можно использовать для проверки подлинности внешних ресурсов, защиты данных путем шифрования и целостности путем подписывания. Виртуальные смарт-карты можно развернуть с помощью внутренних методов или приобретенного решения, и они могут заменить другие методы строгой проверки подлинности в корпоративном параметре любого масштаба.
Варианты использования проверки подлинности
Двухфакторная проверка подлинности\удаленный доступ на основе u2012
После того как у пользователя есть полнофункциональный виртуальный смарт-карта доверенного платформенного модуля, подготовленный с помощью сертификата входа, сертификат используется для получения доступа к корпоративным ресурсам с проверкой подлинности. Когда соответствующий сертификат подготовлен для виртуальной карта, пользователю необходимо только указать ПИН-код для виртуальной интеллектуальной карта, как если бы это был физический интеллектуальный карта, чтобы войти в домен.
На практике это так же просто, как ввести пароль для доступа к системе. Технически это гораздо безопаснее. Использование виртуальной интеллектуальной карта для доступа к системе доказывает домену, что пользователь, запрашивающий проверку подлинности, владеет персональным компьютером, на котором был подготовлен карта, и знает ПИН-код виртуального смарт-карта. Так как этот запрос не мог быть получен из системы, отличной от системы, сертифицированной доменом для доступа этого пользователя, и пользователь не мог инициировать запрос, не зная ПИН-код, устанавливается надежная двухфакторная проверка подлинности.
Проверка подлинности клиента
Виртуальные смарт-карты также можно использовать для проверки подлинности клиента с помощью TLS/SSL или аналогичной технологии. Как и для доступа к домену с помощью виртуальной интеллектуальной карта, для виртуальной интеллектуальной карта можно подготовить сертификат проверки подлинности, предоставленный удаленной службе, в соответствии с запросом в процессе проверки подлинности клиента. Это соответствует принципам двухфакторной проверки подлинности, так как сертификат доступен только с компьютера, на котором размещен виртуальный интеллектуальный карта, а пользователь должен ввести ПИН-код для первоначального доступа к карта.
Перенаправление виртуальных интеллектуальных карта для подключений к удаленному рабочему столу
Концепция двухфакторной проверки подлинности, связанная с виртуальными смарт-картами, основана на близости пользователей к устройствам, которые они используют для доступа к домену. При подключении к устройству, на котором размещены виртуальные смарт-карты, вы не сможете использовать виртуальные смарт-карты, расположенные на удаленном устройстве во время удаленного сеанса. Однако вы можете получить доступ к виртуальным смарт-картам на подключаемом устройстве (которое находится под вашим физическим контролем), которые загружаются на удаленное устройство. Виртуальные смарт-карты можно использовать так, как если бы они были установлены с помощью доверенного платформенного модуля удаленных устройств, расширяя права на удаленное устройство, сохраняя при этом принципы двухфакторной проверки подлинности.
Варианты использования конфиденциальности
Шифрование электронной почты S/MIME
Физические смарт-карты предназначены для хранения закрытых ключей. Закрытые ключи можно использовать для шифрования и расшифровки электронной почты. Те же функции существуют в виртуальных смарт-картах. Используя S/MIME с открытым ключом пользователя для шифрования электронной почты, отправитель сообщения гарантирует, что расшифровать сообщение может только пользователь с соответствующим закрытым ключом. Эта гарантия является результатом неэкспортируемости закрытого ключа. Он никогда не существует в пределах досягаемости вредоносного программного обеспечения и остается защищенным доверенным платформенным модульом даже во время расшифровки.
BitLocker для томов данных
Технология шифрования дисков BitLocker использует шифрование с симметричным ключом для защиты содержимого жесткого диска пользователя. BitLocker гарантирует, что в случае компрометации физического владения жестким диском злоумышленник не сможет считывать данные с диска. Ключ, используемый для шифрования диска, может храниться в виртуальной интеллектуальной карта, что требует знаний об ПИН-коде виртуальной интеллектуальной карта для доступа к диску и владении устройством, на котором размещен виртуальный интеллектуальный карта доверенного платформенного модуля. Если диск получен без доступа к TPM, на котором размещен виртуальный интеллектуальный карта, любая атака методом подбора будет сложной.
BitLocker можно использовать для шифрования переносимых дисков, сохраняя ключи в виртуальных смарт-картах. В этом сценарии, в отличие от использования BitLocker с физическим интеллектуальным карта, зашифрованный диск можно использовать только при подключении к устройству для виртуальной интеллектуальной карта, используемой для шифрования диска, так как ключ BitLocker доступен только с устройства. Этот метод может быть полезен для обеспечения безопасности дисков резервного копирования и личного хранилища, которые также используются за пределами main жесткого диска.
Вариант использования целостности данных
Подписывание данных
Чтобы проверить авторство данных, пользователь может подписать их с помощью закрытого ключа, хранящегося в виртуальной интеллектуальной карта. Цифровые подписи подтверждают целостность и источник данных.
- Сохраняя ключ в доступной операционной системе, злоумышленники могут получить к нему доступ и использовать его для изменения уже подписанных данных или подделывания удостоверения владельца ключа.
- Хранение ключа в виртуальной интеллектуальной карта означает, что его можно использовать только для подписи данных на главном устройстве. Невозможно экспортировать ключ в другие системы (намеренно или непреднамеренно, например при краже вредоносных программ), что делает цифровые подписи более безопасными, чем другие методы хранения закрытых ключей.
Требования к оборудованию
Чтобы использовать технологию виртуальных интеллектуальных карта, TPM 1.2 является минимальным обязательным для устройств с поддерживаемой операционной системой.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по