虛擬智慧卡概觀

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

警告

Windows Hello 企業版 和 FIDO2 安全性金鑰是適用於 Windows 的新式雙因素驗證方法。 建議使用虛擬智慧卡的客戶移至 Windows Hello 企業版 或 FIDO2。 針對新的 Windows 安裝，建議您 Windows Hello 企業版 或 FIDO2 安全性密鑰。

本文提供虛擬智慧卡技術的概觀。

功能描述

虛擬智慧卡技術使用雙因素驗證，為實體智慧卡提供可比較的安全性優點。 虛擬智慧卡會仿真實體智慧卡的功能，但會使用裝置上可用的信賴平臺模組 (TPM) 晶片。 虛擬智慧卡不需要使用個別的實體智慧卡和讀取器。 您可以在 TPM 中建立虛擬智慧卡，其中用於驗證的金鑰會儲存在密碼編譯保護的硬體中。

藉由使用提供與實體智慧卡相同密碼編譯功能的 TPM 裝置，虛擬智慧卡可完成智慧卡所需的三個主要屬性：不可匯出性、隔離式密碼編譯和反鐵製化。

實際應用

虛擬智慧卡的功能類似於實體智慧卡，在 Windows 中顯示為永遠插入的智慧卡。 虛擬智慧卡可用於驗證外部資源、透過加密保護數據，以及透過簽署完整性。 您可以使用內部方法或購買的解決方案來部署虛擬智慧卡，而且它們可以在任何規模的公司設定中取代其他強身份驗證方法。

驗證使用案例

雙因素驗證\u2012 基底遠端訪問

在用戶擁有以登入憑證布建的功能完整的 TPM 虛擬智慧卡之後，憑證會用來取得公司資源的已驗證存取權。 將適當的憑證布建到虛擬卡時，使用者只需要提供虛擬智慧卡的 PIN，就像是實體智慧卡一樣，即可登入網域。

在實務上，這和輸入密碼來存取系統一樣簡單。 技術上來說，它更為安全。 使用虛擬智慧卡存取系統可向網域證明要求驗證的用戶擁有已布建卡片的個人計算機，且知道虛擬智慧卡 PIN。 因為此要求不可能來自網域認證的系統以外的系統來存取此使用者，而且使用者無法在不知道 PIN 的情況下起始要求，所以會建立強式雙因素驗證。

客戶端驗證

虛擬智慧卡也可以使用 TLS/SSL 或類似的技術來進行客戶端驗證。 類似於使用虛擬智慧卡進行網域存取，您可以依照客戶端驗證程式中的要求，為提供給遠端服務的虛擬智慧卡布建驗證憑證。 這遵守雙因素驗證的原則，因為憑證只能從裝載虛擬智慧卡的計算機存取，而且使用者必須輸入 PIN 才能初始存取卡片。

遠端桌面連線的虛擬智慧卡重新導向

與虛擬智慧卡相關聯的雙因素驗證概念取決於使用者與其用來存取網域之裝置的鄰近性。 當您連線到裝載虛擬智慧卡的裝置時，您無法在遠端會話期間使用位於遠端裝置上的虛擬智慧卡。 不過，您可以存取連線裝置上的虛擬智慧卡 (在實體控制) 下，這會載入遠端裝置。 您可以使用虛擬智慧卡，就像使用遠端裝置的 TPM 來安裝它們一樣，將您的許可權延伸到遠端裝置，同時維護雙因素驗證的原則。

機密性使用案例

S/MIME 電子郵件加密

實體智慧卡是設計來保存私鑰。 您可以使用私鑰進行電子郵件加密和解密。 虛擬智慧卡中也存在相同的功能。 透過使用 S/MIME 搭配使用者的公鑰來加密電子郵件，電子郵件寄件者可確保只有具有對應私鑰的人員可以解密電子郵件。 這項保證是私鑰無法匯出的結果。 它永遠不會存在於惡意軟體的觸達範圍內，而且會受到 TPM 保護，即使在解密期間也一直如此。

適用於數據磁碟區的 BitLocker

BitLocker 磁碟驅動器加密技術會使用對稱密鑰加密來保護使用者硬碟的內容。 BitLocker 可確保如果硬碟的實體擁有權遭到入侵，則敵人將無法從磁碟驅動器讀取數據。 用來加密磁碟驅動器的密鑰可以儲存在虛擬智慧卡中，因此必須具備虛擬智慧卡 PIN 的知識才能存取磁碟驅動器，以及擁有裝載 TPM 虛擬智慧卡的裝置。 如果在沒有存取裝載虛擬智慧卡的 TPM 的情況下取得磁碟驅動器，則任何暴力密碼破解攻擊都很困難。

您可以使用 BitLocker 來加密可攜式磁碟驅動器，將密鑰儲存在虛擬智慧卡中。 在此案例中，與使用 BitLocker 搭配實體智慧卡不同，加密的磁碟驅動器只能在聯機到用來加密磁碟驅動器之虛擬智慧卡的裝置時使用，因為 BitLocker 密鑰只能從裝置存取。 這個方法也有助於確保主要硬碟外部備份磁碟驅動器和個人記憶體使用的安全性。

數據完整性使用案例

簽署數據

若要驗證數據的撰寫，用戶可以使用儲存在虛擬智慧卡中的私鑰進行簽署。 數位簽名可確認數據的完整性和來源。

• 將金鑰儲存在可存取的作業系統中，惡意使用者可以存取密鑰，並使用它來修改已簽署的數據，或詐騙密鑰擁有者的身分識別
• 將金鑰儲存在虛擬智慧卡中，表示您只能使用它來簽署主機裝置上的數據。 您無法刻意或無意地將密鑰導出至其他系統 (，例如惡意代碼竊取) ，讓數位簽名比私鑰儲存的其他方法更安全

硬體需求

若要使用虛擬智慧卡技術，執行支援操作系統的裝置至少需要 TPM 1.2。