Вход в windows с помощью смарт карты

Вход в Windows по смарт-карте

Для чего это нужно?

Даже если смарт-карта попадёт в чужие руки, то воспользоваться ею для доступа к конфиденциальным данным всё равно не удастся без знания ПИН-кода, который вы можете самостоятельно менять в случае необходимости.

Как этим пользоваться?

В зависимости от используемого для входа в Windows по смарт-карте программного обеспечения, после загрузки операционной системы на экране монитора появится окно авторизации пользователя, где вместо привычного ввода имени и пароля будет предложено ввести ПИН-код подключённой к компьютеру смарт-карты.

При успешном вводе ПИН-кода будет осуществлён привычный вход в систему Windows. В свою очередь при неверно введённом ПИН-коде доступ в систему будет запрещён, а если количество введённых неверно ПИН превысит установленное при инициализации смарт-карты значение, то система безопасности заблокирует карту.

Что необходимо приобрести?

Для внедрения на своём компьютере функциональной возможности доступа пользователя в операционную систему Windows по смарт-карте вместо авторизации по имени и паролю требуется приобрести соответствующее программное обеспечение, необходимую модель смарт-карты и считыватель смарт-карт.

Некоторые рекомендации по выбору программного обеспечения и оборудования:

Микропроцессорные смарт-карты для входа в Windows. Перечень поддерживаемых смарт-карт автоматически формируется на этапе выбора программного обеспечения. Остаётся лишь остановиться на конкретной модели карты с теми функциональными особенностями, которые необходимы именно вам.

Например, если вы предполагаете использовать трёхфакторную аутентификацию с применением отпечатков пальцев вместо ПИН-кода, то соответственно выбираете карты, поддерживающие данную особенность.

Другими критериями выбора карты являются ёмкость встроенной памяти и список поддерживаемых операционных систем. Установленная на вашем ПК операционная система, разумеется, должна входить в этот перечень. Что касается памяти карты, то чем её больше, тем больше информации, требуемой для аутентификации, вы сможете на неё записать.

Считыватели смарт-карт для авторизации в Windows. При выборе считывателя руководствуемся документацией на выбранное программное обеспечение.

Если жёстких рекомендаций нет, то отталкиваемся от своих потребностей: выбираем моно или комбинированное устройство (поддерживает один вид карт или несколько разновидностей), внешний вид и исполнение (настольный, складной или USB-токен). Не забываем о возможности работы устройства под управлением операционной системы, развернутой на вашем ПК.

Источник

Технический справочник по смарт-карте Smart Card Technical Reference

Применимо к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

Технический справочник по смарт-картам описывает инфраструктуру смарт-карт Windows для физических смарт-карт и работу компонентов, связанных с смарт-картами, в Windows. The Smart Card Technical Reference describes the Windows smart card infrastructure for physical smart cards and how smart card-related components work in Windows. В этом документе также содержатся сведения о средствах, которые ИТ-разработчики и администраторы могут использовать для устранения неполадок, отладки и развертывания проверки подлинности на основе смарт-карт на предприятии. This document also contains information about tools that information technology (IT) developers and administrators can use to troubleshoot, debug, and deploy smart card-based strong authentication in the enterprise.

Аудитория Audience

В этом документе объясняется, как работает инфраструктура смарт-карт Windows. This document explains how the Windows smart card infrastructure works. Чтобы понять эту информацию, необходимо иметь базовые знания об инфраструктуре открытых ключей (PKI) и понятиях смарт-карт. To understand this information, you should have basic knowledge of public key infrastructure (PKI) and smart card concepts. Этот документ предназначен для: This document is intended for:

Корпоративные ИТ-разработчики, менеджеры и сотрудники, плановые развертывание или использование смарт-карт в организации. Enterprise IT developers, managers, and staff who are planning to deploy or are using smart cards in their organization.

Поставщики смарт-карт, которые записывают мини-диски смарт-карт или поставщики учетных данных. Smart card vendors who write smart card minidrivers or credential providers.

Что такое смарт-карты? What are smart cards?

Смарт-карты — это устойчивые к взлому переносимые устройства хранения, которые могут повысить безопасность таких задач, как проверка подлинности клиентов, подписание кода, защита электронной почты и вход с помощью учетной записи домена Windows. Smart cards are tamper-resistant portable storage devices that can enhance the security of tasks such as authenticating clients, signing code, securing e-mail, and signing in with a Windows domain account.

Смарт-карты предоставляют: Smart cards provide:

Защищенное от взлома хранилище для защиты закрытых ключей и других форм личной информации. Tamper-resistant storage for protecting private keys and other forms of personal information.

Изоляция критически важных для безопасности вычислений, которые включают проверку подлинности, цифровые подписи и обмен ключами с других частей компьютера. Isolation of security-critical computations that involve authentication, digital signatures, and key exchange from other parts of the computer. Эти вычисления выполняются на смарт-карте. These computations are performed on the smart card.

Переносимость учетных данных и другой частной информации между компьютерами на работе, дома или в пути. Portability of credentials and other private information between computers at work, home, or on the road.

Смарт-карты можно использовать только для входов в учетные записи домена, а не локальные учетные записи. Smart cards can be used to sign in to domain accounts only, not local accounts. При использовании пароля для интерактивного доступа к учетной записи домена Windows использует для проверки подлинности протокол Kerberos версии 5 (v5). When you use a password to sign in interactively to a domain account, Windows uses the Kerberos version 5 (v5) protocol for authentication. Если вы используете смарт-карту, операционная система использует проверку подлинности Kerberos v5 с сертификатами X.509 v3. If you use a smart card, the operating system uses Kerberos v5 authentication with X.509 v3 certificates.

Виртуальные смарт-карты были представлены в Windows Server 2012 и Windows 8, чтобы снизить потребность в физической смарт-карте, устройстве чтения смарт-карт и связанном администрировании этого оборудования. Virtual smart cards were introduced in Windows Server 2012 and Windows 8 to alleviate the need for a physical smart card, the smart card reader, and the associated administration of that hardware. Сведения о технологии виртуальных смарт-карт см. в обзоре виртуальных смарт-карт. For information about virtual smart card technology, see Virtual Smart Card Overview.

В этом техническом справочнике In this technical reference

Эта справка содержит следующие разделы. This reference contains the following topics.

Источник

Принцип работы входа по смарт-карте в Windows How Smart Card Sign-in Works in Windows

Применимо к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

Этот раздел для ИТ-специалистов содержит ссылки на ресурсы о внедрении технологий смарт-карт в операционной системе Windows. This topic for IT professional provides links to resources about the implementation of smart card technologies in the Windows operating system. Он включает следующие ресурсы об архитектуре, управлении сертификатами и службах, связанных с использованием смарт-карт: It includes the following resources about the architecture, certificate management, and services that are related to smart card use:

Архитектура смарт-карт:узнайте о включаемой связи со смарт-картами и средствами чтения смарт-карт, которые могут быть разными в зависимости от поставщика, который их поставляет. Smart Card Architecture: Learn about enabling communications with smart cards and smart card readers, which can be different according to the vendor that supplies them.

Требования к сертификатам и их нумерация.Узнайте о требованиях к сертификатам смарт-карт на основе операционной системы, а также об операциях, которые выполняются операционной системой при вставке смарт-карты в компьютер. Certificate Requirements and Enumeration: Learn about requirements for smart card certificates based on the operating system, and about the operations that are performed by the operating system when a smart card is inserted into the computer.

Smart Card and Remote Desktop Services: Learn about using smart cards for remote desktop connections. Smart Card and Remote Desktop Services: Learn about using smart cards for remote desktop connections.

Смарт-карты для службы Windows: узнайте о реализации службы смарт-карт для Windows. Smart Cards for Windows Service: Learn about how the Smart Cards for Windows service is implemented.

Служба распространения сертификатов: узнайте, как работает служба распространения сертификатов при вставке смарт-карты на компьютер. Certificate Propagation Service: Learn about how the certificate propagation service works when a smart card is inserted into a computer.

Служба политик удалениясмарт-карт: узнайте об использовании групповой политики для управления действиями, которые происходят при удалении смарт-карты пользователем. Smart Card Removal Policy Service: Learn about using Group Policy to control what happens when a user removes a smart card.

Источник

Устранение неполадок смарт-карт Smart Card Troubleshooting

Применяется к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

В этой статье рассказывается о средствах и службах, которые разработчики смарт-карт могут использовать для выявления проблем с сертификатами при развертывании смарт-карт. This article explains tools and services that smart card developers can use to help identify certificate issues with the smart card deployment.

Отладка и отслеживание проблем смарт-карт требуют различных средств и подходов. Debugging and tracing smart card issues requires a variety of tools and approaches. В следующих разделах указаны инструменты и подходы, которые можно использовать. The following sections provide guidance about tools and approaches you can use.

Certutil Certutil

Полное описание Certutil, включая примеры, которые показывают, как его использовать, см. в примере Certutil [W2012]. For a complete description of Certutil including examples that show how to use it, see Certutil [W2012].

Сертификаты списка, доступные на смарт-карте List certificates available on the smart card

Ввод ПИН-кода не требуется для этой операции. Entering a PIN is not required for this operation. Вы можете нажать ESC, если вам будет предложен ПИН-код. You can press ESC if you are prompted for a PIN.

Удаление сертификатов на смарт-карте Delete certificates on the smart card

Каждый сертификат заключен в контейнер. Each certificate is enclosed in a container. При удалении сертификата на смарт-карте удаляется контейнер для сертификата. When you delete a certificate on the smart card, you’re deleting the container for the certificate.

Отладка и отслеживание с помощью WPP Debugging and tracing using WPP

Включить трассировка Enable the trace

С помощью WPP используйте одну из следующих команд, чтобы включить отслеживание: Using WPP, use one of the following commands to enable tracing:

Параметры можно использовать в следующей таблице. You can use the parameters in the following table.

Чтобы включить трассировку для службы SCardSvr: To enable tracing for the SCardSvr service:

Чтобы включить трассировку для scfilter.sys: To enable tracing for scfilter.sys:

Остановка трассировки Stop the trace

С помощью WPP используйте одну из следующих команд, чтобы остановить трассировку: Using WPP, use one of the following commands to stop the tracing:

Примеры: Examples

Чтобы остановить след: To stop a trace:

Протокол Kerberos, KDC и отладка и отслеживание NTLM Kerberos protocol, KDC, and NTLM debugging and tracing

Эти ресурсы можно использовать для устранения неполадок этих протоколов и KDC: You can use these resources to troubleshoot these protocols and the KDC:

Набор драйверов Windows (WDK) и средства отладки для Windows (WinDbg). Windows Driver Kit (WDK) and Debugging Tools for Windows (WinDbg). Вы можете использовать средство журнала трассировки в этом SDK для отладки сбоев проверки подлинности Kerberos. You can use the trace log tool in this SDK to debug Kerberos authentication failures.

Протокол NTLM NTLM

Чтобы включить трассировку для проверки подлинности NTLM, запустите следующую команду в командной строке: To enable tracing for NTLM authentication, run the following command on the command line:

Чтобы остановить отслеживание для проверки подлинности NTLM, запустите эту команду: To stop tracing for NTLM authentication, run this command:

Проверка подлинности Kerberos Kerberos authentication

Чтобы включить трассировку для проверки подлинности Kerberos, запустите эту команду: To enable tracing for Kerberos authentication, run this command:

Чтобы остановить отслеживание проверки подлинности Kerberos, запустите эту команду: To stop tracing for Kerberos authentication, run this command:

KDC KDC

Чтобы включить трассировку для KDC, запустите следующую команду в командной строке: To enable tracing for the KDC, run the following command on the command line:

Чтобы остановить отслеживание для KDC, запустите следующую команду в командной строке: To stop tracing for the KDC, run the following command on the command line:

Настройка отслеживания с помощью реестра Configure tracing with the registry

Вы также можете настроить трассировку, редактировать значения реестра Kerberos, показанные в следующей таблице. You can also configure tracing by editing the Kerberos registry values shown in the following table.

Если вы использовали параметры ключей реестра, показанные в предыдущей таблице, посмотрите на файлы журнала трассировки в следующих расположениях: If you used the registry key settings shown in the previous table, look for the trace log files in the following locations:

NTLM: %systemroot%\tracing\msv1_0 NTLM: %systemroot%\tracing\msv1_0

Kerberos: %systemroot%\tracing\kerberos Kerberos: %systemroot%\tracing\kerberos

KDC: %systemroot%\tracing\kdcsvc KDC: %systemroot%\tracing\kdcsvc

Служба смарт-карт Smart Card service

Служба диспетчера ресурсов смарт-карт работает в контексте локальной службы. The smart card resource manager service runs in the context of a local service. Он реализуется в качестве общей службы процесса хост-службы (svchost). It’s implemented as a shared service of the services host (svchost) process.

Чтобы проверить, запущена ли служба Смарт-карты To check if Smart Card service is running

Нажмите кнопку CTRL+ALT+DEL, а затем выберите start Task Manager. Press CTRL+ALT+DEL, and then select Start Task Manager.

В диалоговом окне Диспетчер задач Windows выберите вкладку Services. In the Windows Task Manager dialog box, select the Services tab.

Выберите столбец Name для сортировки списка в алфавитном порядке, а затем введите s. Select the Name column to sort the list alphabetically, and then type s.

В столбце Имя посмотрите на SCardSvr, а затем посмотрите в столбце Состояние, чтобы узнать, запущена или остановлена служба. In the Name column, look for SCardSvr, and then look under the Status column to see if the service is running or stopped.

Перезапуск службы смарт-карт To restart Smart Card service

Запустите в качестве администратора в командной подсказке. Run as administrator at the command prompt.

Если появится диалоговое окно «Управление учетной записью пользователя», подтвердите, что отображаемая в нем акция является нужным, а затем выберите Да. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then select Yes.

В следующем примере кода приводится пример вывода из этой команды: The following code sample is an example output from this command:

Считыватели смарт-карт Smart card readers

Как и любое устройство, подключенное к компьютеру, диспетчер устройств можно использовать для просмотра свойств и начала процесса отлаговки. As with any device connected to a computer, Device Manager can be used to view properties and begin the debug process.

Чтобы проверить, работает ли считыватель смарт-карт To check if smart card reader is working

Перейдите к компьютеру. Navigate to Computer.

Щелкните правой кнопкой мыши Компьютер, а затем выберите Свойства. Right-click Computer, and then select Properties.

В статье Задачивыберите диспетчер устройств. Under Tasks, select Device Manager.

В диспетчере устройств раздайте считывателисмарт-карт, выберите имя считывателей смарт-карт, которые необходимо проверить, а затем выберите Свойства. In Device Manager, expand Smart card readers, select the name of the smart card reader you want to check, and then select Properties.

Если считыватель смарт-карт не указан в диспетчере устройств, в меню Action выберите scan для изменения оборудования. If the smart card reader is not listed in Device Manager, in the Action menu, select Scan for hardware changes.

Диагностика CryptoAPI 2.0 CryptoAPI 2.0 Diagnostics

Диагностика CryptoAPI 2.0 доступна в версиях Windows, которые поддерживают CryptoAPI 2.0 и могут помочь устранить проблемы с инфраструктурой ключевых общедоступных ключевых элементов (PKI). CryptoAPI 2.0 Diagnostics is available in Windows versions that support CryptoAPI 2.0 and can help you troubleshoot public key infrastructure (PKI) issues.

CryptoAPI 2.0 Журналы диагностики событий в журнале событий Windows. CryptoAPI 2.0 Diagnostics logs events in the Windows event log. Журналы содержат подробные сведения о проверке цепочки сертификатов, операциях хранения сертификатов и проверке подписи. The logs contain detailed information about certificate chain validation, certificate store operations, and signature verification. Эта информация упрощает определение причин проблем и сокращает время, необходимое для диагностики. This information makes it easier to identify the causes of issues and reduces the time required for diagnosis.

Дополнительные сведения о диагностике CryptoAPI 2.0 см. в статью Устранение неполадок корпоративного PKI. For more information about CryptoAPI 2.0 Diagnostics, see Troubleshooting an Enterprise PKI.

Источник

Обзор виртуальной смарт-карты Virtual Smart Card Overview

Применяется к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

В этом разделе для ИТ-специалистов представлен обзор технологии виртуальных смарт-карт, разработанной Корпорацией Майкрософт, и ссылки на дополнительные темы, которые помогут вам оценить, спланировать, разработать и администрировать виртуальные смарт-карты. This topic for IT professional provides an overview of the virtual smart card technology that was developed by Microsoft and includes links to additional topics to help you evaluate, plan, provision, and administer virtual smart cards.

Вы имеете в виду. Did you mean…

Windows Hello для бизнеса — это современная двух факторовая проверка подлинности для Windows 10. Windows Hello for Business is the modern, two-factor authentication for Windows 10. Microsoft будет отмещая виртуальные смарт-карты в будущем, но на данный момент дата не назначена. Microsoft will be deprecating virtual smart cards in the future, but no date has been set at this time. Клиенты, использующие Windows 10 и виртуальные смарт-карты, должны перейти на Windows Hello для бизнеса. Customers using Windows 10 and virtual smart cards should move to Windows Hello for Business. Корпорация Майкрософт опубликует дату раньше, чтобы убедиться, что у клиентов есть достаточно времени для работы с Windows Hello для бизнеса. Microsoft will publish the date early to ensure customers have adequate lead time to move to Windows Hello for Business. Рекомендуется использовать windows Hello для бизнеса в новых развертываниях Windows 10. We recommend that new Windows 10 deployments use Windows Hello for Business. Виртуальные смарт-карты остаются поддерживаемы для Windows 7 и Windows 8. Virtual smart cards remain supported for Windows 7 and Windows 8.

Описание компонента Feature description

Технология виртуальных смарт-карт майкрософт обеспечивает сопоставимые преимущества безопасности с физическими смарт-картами с помощью двух факторов проверки подлинности. Virtual smart card technology from Microsoft offers comparable security benefits to physical smart cards by using two-factor authentication. Виртуальные смарт-карты эмулируют функции физических смарт-карт, но они используют чип Trusted Platform Module (TPM), доступный на компьютерах во многих организациях, а не требует использования отдельной физической смарт-карты и средства чтения. Virtual smart cards emulate the functionality of physical smart cards, but they use the Trusted Platform Module (TPM) chip that is available on computers in many organizations, rather than requiring the use of a separate physical smart card and reader. Виртуальные смарт-карты создаются в TPM, где ключи, используемые для проверки подлинности, хранятся в оборудовании с криптографической безопасностью. Virtual smart cards are created in the TPM, where the keys that are used for authentication are stored in cryptographically secured hardware.

С помощью устройств TPM, которые предоставляют те же криптографические возможности, что и физические смарт-карты, виртуальные смарт-карты выполняют три ключевых свойства, которые нужны для смарт-карт: неэкспортируемость, изолированная криптография и антикорминг. By utilizing TPM devices that provide the same cryptographic capabilities as physical smart cards, virtual smart cards accomplish the three key properties that are desired for smart cards: non-exportability, isolated cryptography, and anti-hammering.

Практическое применение Practical applications

Виртуальные смарт-карты функционально похожи на физические смарт-карты и отображаются в Windows как смарт-карты, которые всегда вставлены. Virtual smart cards are functionally similar to physical smart cards and appear in Windows as smart cards that are always-inserted. Виртуальные смарт-карты можно использовать для проверки подлинности внешних ресурсов, защиты данных с помощью безопасного шифрования и целостности с помощью надежной подписи. Virtual smart cards can be used for authentication to external resources, protection of data by secure encryption, and integrity through reliable signing. Они легко развертываются с помощью методов или приобретенного решения, и они могут стать полной заменой для других методов сильной проверки подлинности в корпоративном параметре любого масштаба. They are easily deployed by using in-house methods or a purchased solution, and they can become a full replacement for other methods of strong authentication in a corporate setting of any scale.

Случаи использования проверки подлинности Authentication use cases

Двухфакторная проверка подлинности\u2012based удаленный доступ Two-factor authentication‒based remote access

После того как у пользователя есть полнофункциональная виртуальная смарт-карта TPM с сертификатом регистрации, сертификат используется для получения строгого доступа к корпоративным ресурсам с проверкой подлинности. After a user has a fully functional TPM virtual smart card, provisioned with a sign-in certificate, the certificate is used to gain strongly authenticated access to corporate resources. При подготовке соответствующего сертификата к виртуальной карте пользователю необходимо предоставить ПИН-код виртуальной смарт-карты, как если бы это была физическая смарт-карта, чтобы войти в домен. When the proper certificate is provisioned to the virtual card, the user need only provide the PIN for the virtual smart card, as if it was a physical smart card, to sign in to the domain.

На практике это так же просто, как ввести пароль для доступа к системе. In practice, this is as easy as entering a password to access the system. Технически это гораздо более безопасно. Technically, it is far more secure. Использование виртуальной смарт-карты для доступа к системе доказывает домену, что пользователь, запрашивающий проверку подлинности, владеет персональным компьютером, на котором была предусмотрена карта, и знает ПИН-код виртуальной смарт-карты. Using the virtual smart card to access the system proves to the domain that the user who is requesting authentication has possession of the personal computer upon which the card has been provisioned and knows the virtual smart card PIN. Поскольку этот запрос не мог исходить из системы, не заверенной доменом для доступа этого пользователя, и пользователь не мог инициировал запрос, не зная ПИН-кода, устанавливается сильная двух факторовая проверка подлинности. Because this request could not have possibly originated from a system other than the system certified by the domain for this user’s access, and the user could not have initiated the request without knowing the PIN, a strong two-factor authentication is established.

Проверка подлинности клиента Client authentication

Виртуальные смарт-карты также можно использовать для проверки подлинности клиента с помощью безопасного слоя socket (SSL) или аналогичной технологии. Virtual smart cards can also be used for client authentication by using Secure Socket Layer (SSL) or a similar technology. Как и доступ к домену с виртуальной смарт-картой, сертификат проверки подлинности можно получить для виртуальной смарт-карты, предоставляемой удаленной службе, как это запрашивается в процессе проверки подлинности клиента. Similar to domain access with a virtual smart card, an authentication certificate can be provisioned for the virtual smart card, provided to a remote service, as requested in the client authentication process. Это соответствует принципам двух факторов проверки подлинности, так как сертификат доступен только с компьютера, на котором размещена виртуальная смарт-карта, и пользователю необходимо ввести ПИН-код для начального доступа к карте. This adheres to the principles of two-factor authentication because the certificate is only accessible from the computer that hosts the virtual smart card, and the user is required to enter the PIN for initial access to the card.

Перенаправление виртуальных смарт-карт для удаленных подключений к настольным компьютерам Virtual smart card redirection for remote desktop connections

Концепция двух факторов проверки подлинности, связанной с виртуальными смарт-картами, зависит от близости пользователей к компьютерам, на которые они могут получать доступ к ресурсам домена. The concept of two-factor authentication associated with virtual smart cards relies on the proximity of users to the computers that they access domain resources through. Поэтому, когда пользователь удаленно подключается к компьютеру, на который размещены виртуальные смарт-карты, виртуальные смарт-карты, расположенные на удаленном компьютере, нельзя использовать во время удаленного сеанса. Therefore, when a user remotely connects to a computer that is hosting virtual smart cards, the virtual smart cards that are located on the remote computer cannot be used during the remote session. Однако виртуальные смарт-карты, хранимые на подключаемом компьютере (который находится под физическим контролем пользователя) загружаются на удаленный компьютер, и их можно использовать так, как если бы они были установлены с помощью TPM удаленного компьютера. However, the virtual smart cards that are stored on the connecting computer (which is under physical control of the user) are loaded onto the remote computer, and they can be used as if they were installed by using the remote computer’s TPM. Это расширяет права пользователя на удаленный компьютер, сохраняя при этом принципы двух факторов проверки подлинности. This extends a user’s privileges to the remote computer, while maintaining the principles of two-factor authentication.

Windows To Go и виртуальные смарт-карты Windows To Go and virtual smart cards

Виртуальные смарт-карты хорошо работают с Windows To Go, где пользователь может загрузиться в поддерживаемую версию Windows с совместимого съемного устройства хранения. Virtual smart cards work well with Windows To Go, where a user can boot into a supported version of Windows from a compatible removable storage device. Для пользователя может быть создана виртуальная смарт-карта, которая привязана к TPM на физическом компьютере, к которому подключено съемное устройство хранения. A virtual smart card can be created for the user, and it is tied to the TPM on the physical host computer to which the removable storage device is connected. Когда пользователь загружает операционную систему с другого физического компьютера, виртуальная смарт-карта будет недоступна. When the user boots the operating system from a different physical computer, the virtual smart card will not be available. Это можно использовать для сценариев, когда один физический компьютер является общим для многих пользователей. This can be used for scenarios when a single physical computer is shared by many users. Каждому пользователю может быть предоставлено съемное хранилище для Windows To Go с виртуальной смарт-картой, предусмотренной для пользователя. Each user can be given a removable storage device for Windows To Go, which has a virtual smart card provisioned for the user. Таким образом, пользователи могут получить доступ только к личной виртуальной смарт-карте. This way, users are only able to access their personal virtual smart card.

Случаи использования конфиденциальности Confidentiality use cases

Шифрование электронной почты S/MIME S/MIME email encryption

Физические смарт-карты предназначены для удержания закрытых ключей, которые можно использовать для шифрования и расшифровки электронной почты. Physical smart cards are designed to hold private keys that can be used for email encryption and decryption. Эта функция также существует в виртуальных смарт-картах. This functionality also exists in virtual smart cards. Используя S/MIME с общедоступным ключом пользователя для шифрования электронной почты, отправитель электронной почты может быть уверен, что расшифровать электронную почту сможет только человек с соответствующим закрытым ключом. By using S/MIME with a user’s public key to encrypt email, the sender of an email can be assured that only the person with the corresponding private key will be able to decrypt the email. Эта гарантия является результатом неэкспортируемости закрытого ключа. This assurance is a result of the non-exportability of the private key. Он никогда не существует в пределах досягаемости вредоносного программного обеспечения, и он остается защищенным TPM даже во время расшифровки. It never exists within reach of malicious software, and it remains protected by the TPM—even during decryption.

BitLocker для объемов данных BitLocker for data volumes

Технология шифрования дисков sBitLocker использует шифрование с симметричным ключом для защиты контента жесткого диска пользователя. sBitLocker Drive Encryption technology makes use of symmetric-key encryption to protect the content of a user’s hard drive. Это гарантирует, что если физическое владение жесткого диска будет нарушено, злоумышленник не сможет считыть данные с диска. This ensures that if the physical ownership of a hard drive is compromised, an adversary will not be able to read data off the drive. Ключ, используемый для шифрования диска, может храниться в виртуальной смарт-карте, что требует знания ПИН-кода виртуальной смарт-карты для доступа к диску и владению компьютером, на котором размещена виртуальная смарт-карта TPM. The key used to encrypt the drive can be stored in a virtual smart card, which necessitates knowledge of the virtual smart card PIN to access the drive and possession of the computer that is hosting the TPM virtual smart card. Если диск получается без доступа к TPM, на котором размещена виртуальная смарт-карта, любая грубая силовая атака будет очень сложной. If the drive is obtained without access to the TPM that hosts the virtual smart card, any brute force attack will be very difficult.

BitLocker также можно использовать для шифрования портативных дисков, что включает хранение ключей в виртуальных смарт-картах. BitLocker can also be used to encrypt portable drives, which involves storing keys in virtual smart cards. В этом сценарии (в отличие от использования BitLocker с физической смарт-картой) зашифрованный диск можно использовать только в том случае, если он подключен к хосту для виртуальной смарт-карты, используемой для шифрования диска, так как ключ BitLocker доступен только с этого компьютера. In this scenario (unlike using BitLocker with a physical smart card), the encrypted drive can be used only when it is connected to the host for the virtual smart card that is used to encrypt the drive, because the BitLocker key is only accessible from this computer. Однако этот метод может быть полезен для обеспечения безопасности резервных дисков и использования личных накопителей за пределами основного жесткого диска. However, this method can be useful to ensure the security of backup drives and personal storage uses outside the main hard drive.

Пример использования целостности данных Data integrity use case

Подписание данных Signing data

Чтобы проверить авторство данных, пользователь может подписать их с помощью закрытого ключа, хранимого на виртуальной смарт-карте. To verify authorship of data, a user can sign it by using a private key that is stored in the virtual smart card. Цифровые подписи подтверждают целостность и происхождение данных. Digital signatures confirm the integrity and origin of the data. Если ключ хранится в доступной операционной системе, злоумышленник может получить к нему доступ и использовать его для изменения уже подписанных данных или для подмены удостоверения владельца ключа. If the key is stored in an operating system that is accessible, a malicious user could access it and use it to modify already signed data or to spoof the key owner’s identity. Однако если этот ключ хранится в виртуальной смарт-карте, его можно использовать только для подписи данных на хост-компьютере. However, if this key is stored in a virtual smart card, it can be used only to sign data on the host computer. Его нельзя экспортировать в другие системы (намеренно или непреднамеренно, например при краже вредоносных программ). It cannot be exported to other systems (intentionally or unintentionally, such as with malware theft). Это делает цифровые подписи гораздо более безопасными, чем другие методы для хранения ключей. This makes digital signatures far more secure than other methods for private key storage.

Новые и измененные функциональные возможности с Windows 8.1 New and changed functionality as of Windows 8.1

Улучшения в Windows 8.1 позволили разработчикам создавать приложения Microsoft Store для создания и управления виртуальными смарт-картами. Enhancements in Windows 8.1 enabled developers to build Microsoft Store apps to create and manage virtual smart cards.

Протокол управления устройствами виртуальной смарт-карты DCOM Interfaces for Trusted Platform Module (TPM) предоставляет интерфейс удаленного протокола модели распределенных компонентов (DCOM), используемый для создания и уничтожения виртуальных смарт-карт. The DCOM Interfaces for Trusted Platform Module (TPM) Virtual Smart Card device management protocol provides a Distributed Component Object Model (DCOM) Remote Protocol interface used for creating and destroying virtual smart cards. Виртуальная смарт-карта — это устройство, которое представляет интерфейс устройства, соответствующий спецификации PC/SC для устройств интерфейса, подключенных к ПК, на платформу хост-операционной системы (ОС). A virtual smart card is a device that presents a device interface complying with the PC/SC specification for PC-connected interface devices to its host operating system (OS) platform. Этот протокол не предполагает ничего о реализации виртуальных устройств смарт-карт. This protocol does not assume anything about the underlying implementation of virtual smart card devices. В частности, хотя она предназначена в основном для управления виртуальными смарт-картами на основе TPMs, она также может использоваться для управления другими типами виртуальных смарт-карт. In particular, while it is primarily intended for the management of virtual smart cards based on TPMs, it can also be used to manage other types of virtual smart cards.

Какой эффект дает это изменение? What value does this change add?

Начиная с Windows 8.1, разработчики приложений могут создавать в своих приложениях следующие возможности по обслуживанию виртуальных смарт-карт, чтобы снять некоторые административные нагрузки. Starting with Windows 8.1, application developers can build into their apps the following virtual smart card maintenance capabilities to relieve some of your administrative burdens.

Создайте новую виртуальную смарт-карту или выберите виртуальную смарт-карту из списка доступных виртуальных смарт-карт в системе. Create a new virtual smart card or select a virtual smart card from the list of available virtual smart cards on the system. Определите, с чем приложение должно работать. Identify the one that the application is supposed to work with.

Персонализация виртуальной смарт-карты. Personalize the virtual smart card.

Измените клавишу администрирования. Change the admin key.

Разнообразить ключ администратора, который позволяет пользователю разблокировать ПИН-код в сценарии, заблокированном ПИН-кодом. Diversify the admin key which allows the user to unblock the PIN in a PIN-blocked scenario.

Измените ПИН-код. Change the PIN.

Сброс или разблокирование ПИН-кода. Reset or Unblock the PIN.

Уничтожите виртуальную смарт-карту. Destroy the virtual smart card.

Что работает иначе? What works differently?

Начиная с Windows 8.1, разработчики приложений Microsoft Store могут создавать приложения, которые могут побудить пользователя сбросить или разблокировать и изменить ПИН-код виртуальной смарт-карты. Starting with Windows 8.1, Microsoft Store app developers are able to build apps that have the capability to prompt the user to reset or unblock and change a virtual smart card PIN. Это возложит на пользователя больше ответственности за обслуживание виртуальной смарт-карты, но это также может обеспечить более последовательное обслуживание пользователей и администрирование в вашей организации. This places more responsibility on the user to maintain their virtual smart card but it can also provide a more consistent user experience and administration experience in your organization.

Дополнительные сведения о разработке приложений Microsoft Store с этими возможностями см. в записи Протокола управления виртуальными смарт-картами модулядоверенных платформ. For more information about developing Microsoft Store apps with these capabilities, see Trusted Platform Module Virtual Smart Card Management Protocol.

Дополнительные сведения об управлении этими возможностями в виртуальных смарт-картах см. в дополнительных сведениях о понимании и оценке виртуальных смарт-карт. For more information about managing these capabilities in virtual smart cards, see Understanding and Evaluating Virtual Smart Cards.

Требования к оборудованию Hardware requirements

Чтобы использовать технологию виртуальных смарт-карт, TPM 1.2 — это минимум, необходимый для компьютеров с Windows 10 или Windows Server 2016. To use the virtual smart card technology, TPM 1.2 is the minimum required for computers running Windows 10 or Windows Server 2016.

Требования к программному обеспечению Software requirements

Чтобы использовать технологию виртуальных смарт-карт, компьютеры должны запускать одну из следующих операционных систем: To use the virtual smart card technology, computers must be running one of the following operating systems:

Источник