как прочитать смарт карту в windows

Начало работы с виртуальными смарт-картами: пошаговое руководство

Применяется к: Windows 10, Windows Server 2016

В этом разделе для ИТ-специалистов описано, как настроить базовую тестовую среду для использования виртуальных смарт-карт TPM.

Виртуальные смарт-карты — это технология корпорации Майкрософт, которая предлагает сопоставимые преимущества в области безопасности в двух-факторной проверке подлинности с физическими смарт-картами. Кроме того, они обеспечивают большее удобство для пользователей и более низкую стоимость развертывания для организаций. С помощью устройств Trusted Platform Module (TPM), которые предоставляют те же криптографические возможности, что и физические смарт-карты, виртуальные смарт-карты выполняют три ключевых свойства, которые нужны смарт-картам: неэкспортивность, изолированная криптография и антикорминг.

В этом пошаговом октайе показано, как настроить базовую тестовую среду для использования виртуальных смарт-карт TPM. После завершения этого погона на компьютере будет установлена функциональная виртуальная смарт-карта Windows.

Требования к времени

Вы должны быть в состоянии завершить это пополнение менее чем за один час, исключая установку программного обеспечения и настройку тестового домена.

Действия по погонам

**** Важно Эта базовая конфигурация предназначена только для тестовых целей. Он не предназначен для использования в производственной среде.

Предварительные условия

Компьютер с Windows 10 с установленным и полностью функциональным TPM (версия 1.2 или версия 2.0).

Тестовый домен, к которому можно присоединить указанный выше компьютер.

Доступ к серверу в этом домене с полностью установленным и работающим органом сертификации (CA).

Шаг 1. Создание шаблона сертификата

На сервере домена необходимо создать шаблон сертификата, который будет запрашивать виртуальная смарт-карта.

Создание шаблона сертификата

На сервере откройте консоль управления Майкрософт (MMC). Один из способов сделать **** это — **** ввестиmmc.exeв меню Пуск, щелкнуть правой кнопкой мыши mmc.exeи нажмите кнопку Выполнить в качестве администратора.

Щелкните Файл, а затем щелкните Добавить или удалить оснастку.

как прочитать смарт карту в windows. vsc 02 mmc add snap in. как прочитать смарт карту в windows фото. как прочитать смарт карту в windows-vsc 02 mmc add snap in. картинка как прочитать смарт карту в windows. картинка vsc 02 mmc add snap in. Применяется к: Windows 10, Windows Server 2016

В доступном списке оснастки щелкните шаблонысертификатов и нажмите кнопку Добавить.

как прочитать смарт карту в windows. vsc 03 add certificate templates snap in. как прочитать смарт карту в windows фото. как прочитать смарт карту в windows-vsc 03 add certificate templates snap in. картинка как прочитать смарт карту в windows. картинка vsc 03 add certificate templates snap in. Применяется к: Windows 10, Windows Server 2016

Шаблоны сертификатов теперь находятся в консоли Root в MMC. Дважды щелкните его, чтобы просмотреть все доступные шаблоны сертификата.

Щелкните правой кнопкой мыши шаблон Логотип Smartcard и щелкните Дубликат шаблона.

На вкладке «Совместимость» в органе сертификациипросмотрите выбор и измените его при необходимости.

как прочитать смарт карту в windows. vsc 05 certificate template compatibility. как прочитать смарт карту в windows фото. как прочитать смарт карту в windows-vsc 05 certificate template compatibility. картинка как прочитать смарт карту в windows. картинка vsc 05 certificate template compatibility. Применяется к: Windows 10, Windows Server 2016

На вкладке General:

Укажите имя, например логотип виртуальной смарт-карты TPM.

Установите период действия до нужного значения.

На вкладке Обработка запросов:

Установите логотип Purpose to Signature и smartcard.

Щелкните Подсказка пользователя во время регистрации.

На вкладке Криптография:

Установите минимальный размер ключа до 2048.

Нажмите кнопку Запросы должны использовать один из следующих поставщиков, а затем выберите Microsoft Base Smart Card Crypto Provider.

На вкладке Безопасность добавьте группу безопасности, к которую необходимо предоставить доступ для регистрации. Например, если вы хотите предоставить доступ всем **** пользователям, выберите группу **** пользователей с проверкой подлинности и выберите для них разрешения на регистрацию.

Нажмите кнопку ОК, чтобы окончательно изменить изменения и создать новый шаблон. Теперь новый шаблон должен отображаться в списке шаблонов сертификатов.

Выберите файл, а затем нажмите кнопку Добавить или Удалить snap-in, чтобы добавить оснастку сертификационного органа на консоль MMC. На вопрос, какой компьютер вы хотите управлять, выберите компьютер, на котором расположен ЦС, вероятно, локальный компьютер.

как прочитать смарт карту в windows. vsc 06 add certification authority snap in. как прочитать смарт карту в windows фото. как прочитать смарт карту в windows-vsc 06 add certification authority snap in. картинка как прочитать смарт карту в windows. картинка vsc 06 add certification authority snap in. Применяется к: Windows 10, Windows Server 2016

В левой области MMC расширите управление сертификацией (Local), а затем расширите свой ЦС в списке сертификационного органа.

Щелкните правой кнопкой мыши шаблоны сертификатов, нажмите кнопку Newи нажмите кнопку Шаблон сертификата для выпуска.

как прочитать смарт карту в windows. vsc 07 right click certificate templates. как прочитать смарт карту в windows фото. как прочитать смарт карту в windows-vsc 07 right click certificate templates. картинка как прочитать смарт карту в windows. картинка vsc 07 right click certificate templates. Применяется к: Windows 10, Windows Server 2016

В списке выберите только что созданный шаблон (TPM Virtual Smart Card Logon), а затем нажмите кнопку ОК.

**** Примечание Может занять некоторое время, чтобы ваш шаблон реплицируется на все серверы и становится доступным в этом списке.

как прочитать смарт карту в windows. vsc 08 enable certificate template. как прочитать смарт карту в windows фото. как прочитать смарт карту в windows-vsc 08 enable certificate template. картинка как прочитать смарт карту в windows. картинка vsc 08 enable certificate template. Применяется к: Windows 10, Windows Server 2016

После репликации шаблона в MMC щелкните правой кнопкой мыши в списке Сертификация, щелкните Все задачи инажмите кнопку Стоп-служба. Затем щелкните правой кнопкой мыши имя ЦС еще раз, нажмите кнопку Все задачи, а затем нажмите кнопку Начните службу.

как прочитать смарт карту в windows. vsc 09 stop service start service. как прочитать смарт карту в windows фото. как прочитать смарт карту в windows-vsc 09 stop service start service. картинка как прочитать смарт карту в windows. картинка vsc 09 stop service start service. Применяется к: Windows 10, Windows Server 2016

Шаг 2. Создание виртуальной смарт-карты TPM

На этом шаге вы создадим виртуальную смарт-карту на клиентский компьютер с помощью средства командной строки Tpmvscmgr.exe.

Создание виртуальной смарт-карты TPM

На компьютере, подключимом к домену, откройте окно Командная подсказка с административными учетными данными.

как прочитать смарт карту в windows. vsc 10 cmd run as administrator. как прочитать смарт карту в windows фото. как прочитать смарт карту в windows-vsc 10 cmd run as administrator. картинка как прочитать смарт карту в windows. картинка vsc 10 cmd run as administrator. Применяется к: Windows 10, Windows Server 2016

В командной подсказке введите следующее, а затем нажмите кнопку ENTER:

tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

Это позволит создать виртуальную смарт-карту с именем TestVSC, опустить ключ разблокировки и создать файловую систему на карте. ПИН-код будет установлен по умолчанию, 12345678. Чтобы получить запрос на ПИН-код, вместо /pin-кода по умолчанию можно ввести /pin-код.

Дополнительные сведения о средстве командной строки Tpmvscmgr см. в дополнительных сведениях Об использовании виртуальных смарт-карт и Tpmvscmgr.

Подождите несколько секунд, пока процесс завершится. По завершении Tpmvscmgr.exe предоставит вам ID экземпляра устройства для виртуальной смарт-карты TPM. Храните этот ID для более поздней ссылки, так как он потребуется для управления или удаления виртуальной смарт-карты.

Шаг 3. Регистрация сертификата на виртуальную смарт-карту TPM

Виртуальная смарт-карта должна быть оборудована сертификатом регистрации, чтобы она была полностью функциональной.

Регистрация сертификата

Откройте консоль Сертификаты, введя certmgr.msc в меню Пуск.

Щелкните правой кнопкой мыши Личный, щелкните все задачи, а затем нажмите кнопку Запрос нового сертификата.

как прочитать смарт карту в windows. vsc 11 certificates request new certificate. как прочитать смарт карту в windows фото. как прочитать смарт карту в windows-vsc 11 certificates request new certificate. картинка как прочитать смарт карту в windows. картинка vsc 11 certificates request new certificate. Применяется к: Windows 10, Windows Server 2016

Следуйте подсказкам и при выборе списка шаблонов выберите поле TPM Virtual Smart Card Logon (или все, что вы назвали шаблоном в шаге 1).

как прочитать смарт карту в windows. vsc 12 certificate enrollment select certificate. как прочитать смарт карту в windows фото. как прочитать смарт карту в windows-vsc 12 certificate enrollment select certificate. картинка как прочитать смарт карту в windows. картинка vsc 12 certificate enrollment select certificate. Применяется к: Windows 10, Windows Server 2016

Если вам будет предложено устройство, выберите виртуальную смарт-карту Майкрософт, соответствующую созданной в предыдущем разделе. Он отображает в качестве устройства удостоверения (Microsoft Profile).

Введите ПИН-код, созданный при создания виртуальной смарт-карты TPM, а затем нажмите кнопку ОК.

Подождите, пока регистрация завершится, а затем нажмите кнопку Готово.

Виртуальная смарт-карта теперь может использоваться в качестве альтернативной учетной данных для входа в домен. Чтобы убедиться, что конфигурация виртуальных смарт-карт и регистрация сертификатов были успешными, выпишитесь из текущего сеанса и впишитесь. При входе вы увидите значок для новой виртуальной смарт-карты TPM на экране Secure Desktop (вход), или вы будете автоматически направлены в диалоговое окно для входной карточки смарт-карты TPM. Щелкните значок, введите ПИН-код (при необходимости), а затем нажмите кнопку ОК. Вы должны быть подписаны на свою учетную запись домена.

Источник

Обзор виртуальной смарт-карты

Применяется к: Windows 10, Windows Server 2016

В этом разделе для ИТ-специалистов представлен обзор технологии виртуальных смарт-карт, разработанной Корпорацией Майкрософт, и ссылки на дополнительные темы, которые помогут вам оценить, спланировать, разработать и администрировать виртуальные смарт-карты.

Вы имеете в виду.

Windows Hello для бизнеса — это современная двух факторовая проверка подлинности для Windows 10. Microsoft будет отмещая виртуальные смарт-карты в будущем, но на данный момент дата не назначена. Клиенты, использующие Windows 10 и виртуальные смарт-карты, должны перейти Windows Hello для бизнеса. Корпорация Майкрософт опубликует дату раньше, чтобы убедиться, что у клиентов есть достаточно времени, чтобы перейти Windows Hello для бизнеса. Рекомендуется использовать Windows 10 развертывание Windows Hello для бизнеса. Виртуальные смарт-карты сохраняют поддержку Windows 7 и Windows 8.

Описание компонента

Технология виртуальных смарт-карт майкрософт обеспечивает сопоставимые преимущества безопасности с физическими смарт-картами с помощью двух факторов проверки подлинности. Виртуальные смарт-карты эмулируют функции физических смарт-карт, но они используют чип Trusted Platform Module (TPM), доступный на компьютерах во многих организациях, а не требует использования отдельной физической смарт-карты и средства чтения. Виртуальные смарт-карты создаются в TPM, где ключи, используемые для проверки подлинности, хранятся в оборудовании с криптографической безопасностью.

С помощью устройств TPM, которые предоставляют те же криптографические возможности, что и физические смарт-карты, виртуальные смарт-карты выполняют три ключевых свойства, которые нужны для смарт-карт: неэкспортируемость, изолированная криптография и антикорминг.

Практическое применение

Виртуальные смарт-карты функционально похожи на физические смарт-карты и отображаются в Windows как смарт-карты, которые всегда вставлены. Виртуальные смарт-карты можно использовать для проверки подлинности внешних ресурсов, защиты данных с помощью безопасного шифрования и целостности с помощью надежной подписи. Они легко развертываются с помощью методов или приобретенного решения, и они могут стать полной заменой для других методов сильной проверки подлинности в корпоративном параметре любого масштаба.

Случаи использования проверки подлинности

Двухфакторная проверка подлинности\u2012based удаленный доступ

После того как у пользователя есть полнофункциональная виртуальная смарт-карта TPM с сертификатом регистрации, сертификат используется для получения строгого доступа к корпоративным ресурсам с проверкой подлинности. При подготовке соответствующего сертификата к виртуальной карте пользователю необходимо предоставить ПИН-код виртуальной смарт-карты, как если бы это была физическая смарт-карта, чтобы войти в домен.

На практике это так же просто, как ввести пароль для доступа к системе. Технически это гораздо более безопасно. Использование виртуальной смарт-карты для доступа к системе доказывает домену, что пользователь, запрашивающий проверку подлинности, владеет персональным компьютером, на котором была предусмотрена карта, и знает ПИН-код виртуальной смарт-карты. Поскольку этот запрос не мог исходить из системы, не заверенной доменом для доступа этого пользователя, и пользователь не мог инициировал запрос, не зная ПИН-кода, устанавливается сильная двух факторовая проверка подлинности.

Проверка подлинности клиента

Виртуальные смарт-карты также можно использовать для проверки подлинности клиента с помощью безопасного слоя socket (SSL) или аналогичной технологии. Как и доступ к домену с виртуальной смарт-картой, сертификат проверки подлинности можно получить для виртуальной смарт-карты, предоставляемой удаленной службе, как это запрашивается в процессе проверки подлинности клиента. Это соответствует принципам двух факторов проверки подлинности, так как сертификат доступен только с компьютера, на котором размещена виртуальная смарт-карта, и пользователю необходимо ввести ПИН-код для начального доступа к карте.

Перенаправление виртуальных смарт-карт для удаленных подключений к настольным компьютерам

Концепция двух факторов проверки подлинности, связанной с виртуальными смарт-картами, зависит от близости пользователей к компьютерам, на которые они могут получать доступ к ресурсам домена. Поэтому, когда пользователь удаленно подключается к компьютеру, на который размещены виртуальные смарт-карты, виртуальные смарт-карты, расположенные на удаленном компьютере, нельзя использовать во время удаленного сеанса. Однако виртуальные смарт-карты, хранимые на подключаемом компьютере (который находится под физическим контролем пользователя) загружаются на удаленный компьютер, и их можно использовать так, как если бы они были установлены с помощью TPM удаленного компьютера. Это расширяет права пользователя на удаленный компьютер, сохраняя при этом принципы двух факторов проверки подлинности.

Windows Go и виртуальные смарт-карты

Виртуальные смарт-карты хорошо работают с Windows To Go, где пользователь может загрузиться в поддерживаемую версию Windows с совместимого съемного устройства хранения. Для пользователя может быть создана виртуальная смарт-карта, которая привязана к TPM на физическом компьютере, к которому подключено съемное устройство хранения. Когда пользователь загружает операционную систему с другого физического компьютера, виртуальная смарт-карта будет недоступна. Это можно использовать для сценариев, когда один физический компьютер является общим для многих пользователей. Каждому пользователю может быть предоставлено съемное хранилище для Windows To Go, в котором для пользователя предусмотрена виртуальная смарт-карта. Таким образом, пользователи могут получить доступ только к личной виртуальной смарт-карте.

Случаи использования конфиденциальности

Шифрование электронной почты S/MIME

Физические смарт-карты предназначены для удержания закрытых ключей, которые можно использовать для шифрования и расшифровки электронной почты. Эта функция также существует в виртуальных смарт-картах. Используя S/MIME с общедоступным ключом пользователя для шифрования электронной почты, отправитель электронной почты может быть уверен, что расшифровать электронную почту сможет только человек с соответствующим закрытым ключом. Эта гарантия является результатом неэкспортируемости закрытого ключа. Он никогда не существует в пределах досягаемости вредоносного программного обеспечения, и он остается защищенным TPM даже во время расшифровки.

BitLocker для объемов данных

Технология шифрования дисков sBitLocker использует шифрование с симметричным ключом для защиты контента жесткого диска пользователя. Это гарантирует, что если физическое владение жесткого диска будет нарушено, злоумышленник не сможет считыть данные с диска. Ключ, используемый для шифрования диска, может храниться в виртуальной смарт-карте, что требует знания ПИН-кода виртуальной смарт-карты для доступа к диску и владению компьютером, на котором размещена виртуальная смарт-карта TPM. Если диск получается без доступа к TPM, на котором размещена виртуальная смарт-карта, любая грубая силовая атака будет очень сложной.

BitLocker также можно использовать для шифрования портативных дисков, что включает хранение ключей в виртуальных смарт-картах. В этом сценарии (в отличие от использования BitLocker с физической смарт-картой) зашифрованный диск можно использовать только в том случае, если он подключен к хосту для виртуальной смарт-карты, используемой для шифрования диска, так как ключ BitLocker доступен только с этого компьютера. Однако этот метод может быть полезен для обеспечения безопасности резервных дисков и использования личных накопителей за пределами основного жесткого диска.

Пример использования целостности данных

Подписание данных

Чтобы проверить авторство данных, пользователь может подписать их с помощью закрытого ключа, хранимого на виртуальной смарт-карте. Цифровые подписи подтверждают целостность и происхождение данных. Если ключ хранится в доступной операционной системе, злоумышленник может получить к нему доступ и использовать его для изменения уже подписанных данных или для подмены удостоверения владельца ключа. Однако если этот ключ хранится в виртуальной смарт-карте, его можно использовать только для подписи данных на хост-компьютере. Его нельзя экспортировать в другие системы (намеренно или непреднамеренно, например при краже вредоносных программ). Это делает цифровые подписи гораздо более безопасными, чем другие методы для хранения ключей.

Новые и измененные функциональные возможности с Windows 8.1

Улучшения в Windows 8.1 позволили разработчикам создавать Microsoft Store для создания и управления виртуальными смарт-картами.

Протокол управления устройствами виртуальной смарт-карты DCOM Interfaces for Trusted Platform Module (TPM) предоставляет интерфейс удаленного протокола модели распределенных компонентов (DCOM), используемый для создания и уничтожения виртуальных смарт-карт. Виртуальная смарт-карта — это устройство, которое представляет интерфейс устройства, соответствующий спецификации PC/SC для устройств интерфейса, подключенных к ПК, на платформу хост-операционной системы (ОС). Этот протокол не предполагает ничего о реализации виртуальных устройств смарт-карт. В частности, хотя она предназначена в основном для управления виртуальными смарт-картами на основе TPMs, она также может использоваться для управления другими типами виртуальных смарт-карт.

Какой эффект дает это изменение?

Начиная с Windows 8.1, разработчики приложений могут создавать в своих приложениях следующие возможности по обслуживанию виртуальных смарт-карт, чтобы снять некоторые административные нагрузки.

Создайте новую виртуальную смарт-карту или выберите виртуальную смарт-карту из списка доступных виртуальных смарт-карт в системе. Определите, с чем приложение должно работать.

Персонализация виртуальной смарт-карты.

Измените клавишу администрирования.

Разнообразить ключ администратора, который позволяет пользователю разблокировать ПИН-код в сценарии, заблокированном ПИН-кодом.

Сброс или разблокирование ПИН-кода.

Уничтожите виртуальную смарт-карту.

Что работает иначе?

Начиная с Windows 8.1, Microsoft Store разработчики приложений могут создавать приложения, которые могут побудить пользователя сбросить или разблокировать и изменить ПИН-код виртуальной смарт-карты. Это возложит на пользователя больше ответственности за обслуживание виртуальной смарт-карты, но это также может обеспечить более последовательное обслуживание пользователей и администрирование в вашей организации.

Дополнительные сведения о разработке Microsoft Store с этими возможностями см. в протоколе управления виртуальными смарт-картами для доверенных модулей платформы.

Дополнительные сведения об управлении этими возможностями в виртуальных смарт-картах см. в дополнительных сведениях о понимании и оценке виртуальных смарт-карт.

Требования к оборудованию

Чтобы использовать технологию виртуальных смарт-карт, TPM 1.2 — это минимум, необходимый для компьютеров с Windows 10 или Windows Server 2016.

Требования к программному обеспечению

Чтобы использовать технологию виртуальных смарт-карт, компьютеры должны запускать одну из следующих операционных систем:

Источник

Техническая справка по смарт-картам

Применяется к: Windows 10, Windows 11, Windows Server 2016 и выше

Технический справочник smart Card описывает инфраструктуру Windows для физических смарт-карт и работу компонентов, связанных с смарт-картами, в Windows. В этом документе также содержатся сведения о средствах, которые разработчики и администраторы информационных технологий могут использовать для устранения неполадок, отладки и развертывания сильной проверки подлинности на основе смарт-карт на предприятии.

Аудитория

В этом документе объясняется, как Windows инфраструктура смарт-карт. Чтобы понять эту информацию, необходимо иметь базовые знания об инфраструктуре общедоступных ключей (PKI) и понятиях смарт-карт. Этот документ предназначен для:

Enterprise ИТ-разработчики, менеджеры и сотрудники, которые планируют развертывание или использование смарт-карт в своей организации.

Поставщики смарт-карт, которые пишут минидрайверы смарт-карт или поставщики учетных данных.

Что такое смарт-карты?

Смарт-карты — это переносные портативные устройства, которые могут повысить безопасность таких задач, как проверка подлинности клиентов, подписание кода, защита электронной почты и вход с Windows учетной записью домена.

Хранилище с устойчивостью к взлому для защиты частных ключей и других форм личной информации.

Изоляция критически важных для безопасности вычислений, которые включают проверку подлинности, цифровые подписи и обмен ключами с других частей компьютера. Эти вычисления выполняются на смарт-карте.

Переносимость учетных данных и другой личной информации между компьютерами на работе, дома или в пути.

Смарт-карты можно использовать для входов только в учетные записи домена, а не для локальных учетных записей. При использовании пароля для интерактивного доступа к учетной записи домена Windows для проверки подлинности используется протокол Kerberos версии 5 (v5). При использовании смарт-карты операционная система использует проверку подлинности Kerberos v5 с сертификатами X.509 v3.

Виртуальные смарт-карты были Windows Server 2012 и Windows 8 для облегчения необходимости физической смарт-карты, средства чтения смарт-карт и связанного администрирования этого оборудования. Сведения о технологии виртуальных смарт-карт см. в обзоре виртуальных смарт-карт.

Источник

Использование виртуальных смарт-карт

Применяется к: Windows 10, Windows Server 2016

В этом разделе для ИТ-специалистов описываются требования к виртуальным смарт-картам, использование виртуальных смарт-карт и доступные средства, которые помогут вам создавать и управлять ими.

Требования, ограничения и ограничения

ОбластьТребования и сведения
Поддерживаемые операционные системыWindows Server 2016
Windows Server2012R2
Windows Server 2012
Windows 10
Windows 8.1
Windows 8
Поддерживаемый модуль доверенных платформ (TPM)Любой TPM, который соответствует основным спецификациям TPM для версии 1.2 или версии 2.0 (как установлено группой доверенных вычислений), поддерживается для использования в качестве виртуальной смарт-карты. Дополнительные сведения см. в главной спецификации TPM.
Поддерживаемые виртуальные смарт-карты на компьютереОдновременно можно подключать десять смарт-карт к компьютеру или устройству. Это включает в себя физические и виртуальные смарт-карты вместе взятые.

Примечание.
Вы можете создать несколько виртуальных смарт-карт; однако после создания более четырех виртуальных смарт-карт можно заметить ухудшение производительности. Так как все смарт-карты отображаются так, как будто они всегда вставлены, если несколько человек разделяют компьютер или устройство, каждый человек может увидеть все виртуальные смарт-карты, созданные на этом компьютере или устройстве. Если пользователь знает ЗНАЧЕНИЯ ПИН-кода для всех виртуальных смарт-карт, пользователь также сможет их использовать.Поддерживаемые количество сертификатов на виртуальной смарт-картеВиртуальная смарт-карта TPM может содержать 30 различных сертификатов с соответствующими закрытыми ключами. Пользователи могут продолжать продлевать сертификаты на карте до тех пор, пока общее число сертификатов на карте не превысит 90. Общее число сертификатов отличается от общего числа закрытых ключей в том, что иногда обновление может быть сделано с помощью одного и того же закрытого ключа, в этом случае новый закрытый ключ не создается.Требования PIN-кода, ключа разблокировки ПИН-кода (PUK) и административных ключевых требованийПИН-код и PUK должны быть не менее восьми символов, которые могут включать цифры, алфавитные символы и специальные символы.
Административный ключ должен быть введен в качестве 48 hexadecimal символов. Это трехсекутный тройной DES с методом обивки ISO/IEC 9797 2 в режиме цепочки CBC.

Использование Tpmvscmgr.exe

Для создания и удаления виртуальных смарт-карт TPM для конечных пользователей средство командной строки Tpmvscmgr включено в качестве средства командной строки с операционной системой. Параметры Create and Delete можно использовать для управления виртуальными смарт-картами на локальных или удаленных компьютерах. Сведения об использовании этого средства см. в tpmvscmgr.

Создание и удаление виртуальных смарт-карт программным образом

Виртуальные смарт-карты также можно создавать и удалять с помощью API. Дополнительные сведения см. в следующих классах и интерфейсах:

Можно использовать API, которые были представлены в Windows. Пространство имен Device.SmartCards в Windows Server 2012 R2 и Windows 8.1 для создания Microsoft Store приложений для управления полным жизненным циклом виртуальных смарт-карт. Сведения о создании приложения для этого см. в статью Strong Authentication: Building Apps That Leverage Virtual Smart Cards in Enterprise, BYOD и Consumer Environments | Сборка 2013 | Канал 9.

В следующей таблице описываются функции, которые можно разработать в Microsoft Store приложении:

ФункцияФизическая смарт-картаВиртуальные смарт-карты
Запрос и мониторинг считывателей смарт-картДаДа
Список доступных смарт-карт в читательской аудитории и извлечение имени и удостоверения карточкиДаДа
Проверка правильности административного ключа картыДаДа
Предоставление (или переформат) карточки с заданным удостоверением карточкиДаДа
Измените ПИН-код, введите старый ПИН-код и укажите новый ПИН-кодДаДа
Изменение административного ключа, сброс ПИН-кода или разблокирование смарт-карты с помощью метода challenge/responseДаДа
Создание виртуальной смарт-картыНеприменимоДа
Удаление виртуальной смарт-картыНеприменимоДа
Настройка политик ПИН-кодаНетДа

Дополнительные сведения об этих Windows API см. в этой ссылке:

Различие виртуальных смарт-карт на основе TPM от физических смарт-карт

Чтобы помочь пользователям визуально отличить виртуальную смарт-карту на основе доверенных платформ (TPM) от физических смарт-карт, виртуальная смарт-карта имеет другой значок. Следующий значок отображается во время входа и на других экранах, которые требуют, чтобы пользователь вошел ПИН-код виртуальной смарт-карты.

Виртуальная смарт-карта на основе TPM помечена устройством безопасности в пользовательском интерфейсе.

Изменение ПИН-кода

ПИН-код виртуальной смарт-карты можно изменить, следуя следующим шагам:

Решение проблем

TPM не предусмотрен

Чтобы виртуальная смарт-карта на основе TPM функционировала должным образом, на компьютере должна быть доступна предварительная TPM. Если TPM отключена в BIOS или не предусмотрена полная собственность и корневой ключ хранилища, создание виртуальной смарт-карты TPM не удастся.

Если TPM инициализирована после создания виртуальной смарт-карты, она больше не будет функционировать, и ее необходимо будет повторно создать.

Если право собственности на TPM было установлено на Windows Vista, TPM не будет готов к использованию виртуальных смарт-карт. Системный администратор должен очистить и инициализировать TPM, чтобы он был подходящим для создания виртуальных смарт-карт TPM.

Если операционная система переустановлена, виртуальные смарт-карты TPM больше не доступны и их необходимо заново создать. При обновлении операционной системы виртуальные смарт-карты TPM будут доступны для использования в обновленной операционной системе.

TPM в состоянии блокировки

Иногда из-за частых неправильных попыток ПИН-кода от пользователя TPM может ввести состояние блокировки. Чтобы возобновить использование виртуальной смарт-карты TPM, необходимо сбросить блокировку на TPM с помощью пароля владельца или дождаться истечения срока блокировки. Разблокировка ПИН-кода пользователя не сбрасывает блокировку в TPM. При блокировке TPM виртуальная смарт-карта TPM выглядит так, как будто она заблокирована. Когда TPM вступает в состояние блокировки, так как пользователь слишком много раз вводил неправильный ПИН-код, может потребоваться сброс ПИН-кода пользователя с помощью средств управления виртуальными смарт-картами, такими как средство командной строки Tpmvscmgr.

См. также

Сведения о случаях использования проверки подлинности, конфиденциальности и целостности данных см. в обзоре виртуальных смарт-карт.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *