Как подключить смарт карту на ноутбуке

Принцип работы входа по смарт-карте в Windows How Smart Card Sign-in Works in Windows

Применимо к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

В этой статье для ИТ-специалистов содержатся ссылки на ресурсы, посвященные внедрению технологий смарт-карт в операционной системе Windows. This topic for IT professional provides links to resources about the implementation of smart card technologies in the Windows operating system. В него включены следующие ресурсы, связанные с архитектурой, управлением сертификатами и службами, которые относятся к использованию смарт-карт. It includes the following resources about the architecture, certificate management, and services that are related to smart card use:

Архитектура смарт-карт: сведения о том, как включить связь с помощью смарт-карт и устройств чтения смарт-карт, которые могут отличаться в зависимости от поставщика, который их предоставил. Smart Card Architecture: Learn about enabling communications with smart cards and smart card readers, which can be different according to the vendor that supplies them.

Требования к сертификатам и их перечисление: сведения о требованиях к сертификатам смарт-карт на основе операционной системы, а также об операциях, выполняемых операционной системой при вставке смарт-карты на компьютер. Certificate Requirements and Enumeration: Learn about requirements for smart card certificates based on the operating system, and about the operations that are performed by the operating system when a smart card is inserted into the computer.

Службы смарт-карт и удаленных рабочих столов: сведения об использовании смарт-карт для подключений к удаленному рабочему столу. Smart Card and Remote Desktop Services: Learn about using smart cards for remote desktop connections.

Смарт-карты для службы Windows: сведения о том, как реализована служба смарт-карт для Windows. Smart Cards for Windows Service: Learn about how the Smart Cards for Windows service is implemented.

Служба распространения сертификатов: сведения о том, как работает служба распространения сертификатов при вставке смарт-карты на компьютер. Certificate Propagation Service: Learn about how the certificate propagation service works when a smart card is inserted into a computer.

Служба политики удаления смарт-карт: сведения об использовании групповой политики для управления тем, что происходит, когда пользователь удаляет смарт-карту. Smart Card Removal Policy Service: Learn about using Group Policy to control what happens when a user removes a smart card.

Источник

Создание и использование виртуальных смарт-карт на домашнем ПК с Windows 8

Сегодняшний рассказ о возможности создания и использования виртуальных смарт-карт (Virtual Smart Cards) в Windows 8 Enterprise и Windows 8 Pro. Только эти издания Windows 8 поддерживают функцию Шифрование диска BitLocker, которая необходима для виртуальных смарт-карт в составе Windows 8.

Но не все так плохо и сегодня, если использовать для входа в систему виртуальную смарт-карту. В этом случае мы защищены.

Правда, и тут не без сложностей – в дополнение к Windows 8 нужен особый компьютер. Cмарт-карта, это, очень условно, всего лишь специальная микросхема, скрывающая, в том числе и ПИН-код доступа в операционную систему для локальной учетной записи. Для создания и использования виртуальной смарт-карты требуется компьютер, имеющий в своем составе модуль TPM.

Проверка наличия в компьютере модуля TPM

Итак, у нас есть Windows 8 Enterprise или Windows 8 Pro. Откроем Диспетчер устройств и убедимся, в наличии модуля TPM. В разделе Устройства безопасности находим Trusted Platform Module (модуль TPM):

В этом случае вы можете использовать виртуальную смарт-карту.

Инициализация модуля TPM

В раскрывшемся окне под заголовком Действие, нажимаем Подготовить TPM. Остальные функции пока не доступны.

Для проведения инициализации модуля TPM система предлагает перегрузить компьютер. Перед новым стартом системы, открывается текстовое окно для подтверждения инициализации модуля TPM. Это нормальная реакция со стороны BIOS.

Возможен такой вариант: TPM configuration change was required to State: Enable & Owner Install. Сразу предлагается на выбор: Reject (Отклонить), или Execute (Выполнить). Могут быть и другие варианты подобного запроса, но смысл будет один, это просьба подтвердить запрос на инициализацию.

Выбираем Execute (Выполнить). Будьте внимательны, поскольку по умолчанию всегда предлагается Reject (Отклонить). Если операция инициализации была подтверждена, то после загрузки Windows на экране возникает такое окно:

Вставляем USB-накопитель и сохраняем на него пароль. На этом все. Инициализация модуля TPM завершена. Кстати, по сравнению с Windows 7 процесс инициализации модуля TPM в Windows 8 упростился. В Windows 7 была более длинная дорога c различными вопросами.

Видим, что все стрелочки у возможных действий с модулем TPM стали ярко зелеными, пункты меню черными (Enable), то есть все функции в Администрировании доверенного платформенного модуля доступны, а в разделе состояние присутствует надпись: Модуль TPM готов к использованию. Можно приступить к главному на сегодня, созданию виртуальной смарт-карты.

Создание виртуальной смарт-карты

В командной строке, запущенной с правами администратора, выполняем:

Наблюдаем ход создания.

По завершению этого процесса видим установленный для нас по умолчанию ПИН-код и надпись “Смарт-карта доверенного платформенного модуля создана”. Пока все просто.

В Диспетчере устройств проверяем наличие виртуальной смарт-карты (tpmvsc) в «Устройствах чтения смарт-карт».

На сайте Microsoft есть хороший документ: Understanding and Evaluating Virtual Smart Cards. В нем приведено полное описание использования виртуальныx смарт-карт, но только применительно к компьютерам входящим в домен корпоративной сети. Дело в том, что для последующего использования созданной карты нужен сертификат, который должен быть получен из доверенного центра в домене. Для других случаев (домашний ПК) в документации ничего нет. Непонятно, что делать, если есть желание отказаться от использования пароля от локальной учетной записи и входить на личный ПК с ПИН-кодом от виртуальной смарт-карты. Об этом как раз дальше.

Нам необходимо получить сертификат для виртуальной смарт-карты локальной учетной записи на компьютер, не включенный в домен корпоративной сети.

Формирование сертификата

Мир большой, и он не без добрых людей. Берем на сайте http://www.mysmartlogon.com/products/eidauthenticate.html, в зависимости от разрядности системы, свободно распространяемую утилиту EIDInstall_0.5.0.3_x64.exe или EIDInstall_0.5.0.3_x86.exe. Закрываем глаза на то, что в перечне совместимых с ней устройств виртуальная смарт-карта от Microsoft пока отсутствует.

Устанавливаем программу EIDAuthenticate и идем в Панель управления, Система и безопасность. Выбираем Smart Card Logon. В открывшемся окне указываем «Настройка нового набора учетных данных» и, выбрав Далее, формируем сертификат.

Но это еще не все. Необходимо изменить ПИН-код и запретить вход без виртуальной смарт-карты.

Изменение ПИН-кода виртуальной смарт-карты

Нажимаем Ctrl+Alt+Del. Выбираем изменить пароль. Заполняем все поля в открывшемся окне. К этому моменту Windows 8 уже знает, что для локальной учетной записи создана виртуальная смарт-карта. Вводим:

Запрет входа без виртуальной смарт-карты

Для запрета входа без виртуальной смарт-карты изменяем одну из политик в параметрах безопасности локального компьютера. Включаем «Интерактивный вход в систему: требовать смарт-карту».

Кто забыл или не знает как, внимательно смотрит на картинку, на ней маршрут, где это надо сделать. И все… C этого момента только правильный ПИН-код от виртуальной смарт-карты, продолжит открывать для нас богатый внутренний мир Windows 8. Пароль от локальной учетной записи или ввод графического пароля системой больше не принимается.

Описанный подход работает и при установке Windows 8 на внешний USB SSD диск. В этой версии, легальная возможность создания такого “носимого” варианта операционной системы, сделана Microsoft впервые. В этом случае, виртуальная смарт-карта привязывается к модулю TPM конкретного компьютера и Windows 8 стартует только с ним.

Для полного счастья, системный диск стоит зашифровать с помощью BitLocker. И никогда никому не узнать ваших секретов!

Источник

Техническое руководство по смарт-картам Smart Card Technical Reference

Применимо к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

В техническом справочнике по смарт-картам описана инфраструктура смарт-карт для Windows, а также как работают компоненты, связанные с использованием смарт-карт в Windows. The Smart Card Technical Reference describes the Windows smart card infrastructure for physical smart cards and how smart card-related components work in Windows. Этот документ также включает в себя сведения о средствах, которые разработчики и администраторы могут использовать для устранения неполадок, отладки и развертывания надежной проверки подлинности с помощью смарт-карт на предприятии. This document also contains information about tools that information technology (IT) developers and administrators can use to troubleshoot, debug, and deploy smart card-based strong authentication in the enterprise.

Аудитория Audience

В этом документе объясняется, как работает инфраструктура смарт-карт Windows. This document explains how the Windows smart card infrastructure works. Чтобы понять эти данные, необходимо иметь базовые сведения о инфраструктуре открытых ключей (PKI) и смарт-картах. To understand this information, you should have basic knowledge of public key infrastructure (PKI) and smart card concepts. Этот документ предназначен для: This document is intended for:

Для ИТ-разработчиков, руководителей и сотрудников, планирующих развертывание или использующих Интеллектуальные карты в своей организации. Enterprise IT developers, managers, and staff who are planning to deploy or are using smart cards in their organization.

Поставщики смарт-карт, которые записывают поставщиков minidrivers или учетных данных. Smart card vendors who write smart card minidrivers or credential providers.

Что такое смарт-карты? What are smart cards?

Смарт-карты — это защищенные портативные устройства, которые могут улучшить безопасность задач, таких как аутентификация клиентов, регистрация кода, защита электронной почты и вход с помощью учетной записи домена Windows. Smart cards are tamper-resistant portable storage devices that can enhance the security of tasks such as authenticating clients, signing code, securing e-mail, and signing in with a Windows domain account.

Смарт-карты предоставляют следующие возможности: Smart cards provide:

Надежное хранение для защиты закрытых ключей и других форм персональных данных. Tamper-resistant storage for protecting private keys and other forms of personal information.

Изоляция критически важных для безопасности вычислений, связанных с проверкой подлинности, цифровыми подписями и обменом ключами на других компонентах компьютера. Isolation of security-critical computations that involve authentication, digital signatures, and key exchange from other parts of the computer. Эти вычисления выполняются на смарт-картах. These computations are performed on the smart card.

Перенос учетных данных и других конфиденциальных данных между компьютерами на работе, дома или в пути. Portability of credentials and other private information between computers at work, home, or on the road.

Смарт-карты можно использовать только для входа в учетные записи домена, но не для локальных учетных записей. Smart cards can be used to sign in to domain accounts only, not local accounts. Если вы используете пароль для интерактивного входа в доменную учетную запись, Windows использует протокол Kerberos версии 5 (V5) для проверки подлинности. When you use a password to sign in interactively to a domain account, Windows uses the Kerberos version 5 (v5) protocol for authentication. Если вы используете смарт-карту, операционная система использует проверку подлинности Kerberos V5 с сертификатами X. 509 v3. If you use a smart card, the operating system uses Kerberos v5 authentication with X.509 v3 certificates.

Виртуальные смарт-карты появились в windows Server 2012 и Windows 8 для облегчения работы физической смарт-карты, устройства чтения смарт-карт и связанного администрирования этого оборудования. Virtual smart cards were introduced in Windows Server 2012 and Windows 8 to alleviate the need for a physical smart card, the smart card reader, and the associated administration of that hardware. Сведения о технологии виртуальных смарт-карт можно найти в статье Общие сведения о виртуальных смарт-картах. For information about virtual smart card technology, see Virtual Smart Card Overview.

В этом техническом справочнике In this technical reference

Эта ссылка включает следующие разделы: This reference contains the following topics.

Источник