Schlagwort-Archive: TPM

Teil 21: Die Verwendung von Virtual Smart Cards konfigurieren

Veröffentlicht am von
Antworten

Virtual Smart Card (VSC) wurde mit Windows 8 und Windows Server 2012 eingeführt. Sie bieten zu physischen Smart Cards eine vergleichbare Sicherheit (Besitz und Wissen). VSCs emulieren eine physische Smart Card, speichern das Zertifikat aber am TPM-Chip mit all seinen Sicherheitsfunktionen (Sperre bei häufigen Fehlversuchen, Anti-Hammering). Wie man die TPM-Sperre aufhebt, habe ich in Teil 20c beschrieben. Praktisch sind VSCs in Verbindung mit Tablets, die selten ein physisches Kartenlesegerät eingebaut haben (z.B. Microsoft Surface). So kann man z.B. mit DirectAccess mittels Zwei-Faktor-Authentifizierung auf Unternehmensressouren zugreifen.

Voraussetzungen:

  • mind. Windows Server 2012, mind. Windows 8
  • TPM Version 1.2 und Version 2.0; eingeschaltet und aktiviert, Besitz übernommen; darf nicht gesperrt sein
  • max. 10 VSCs pro Device
  • max. 30 Zertifikate pro VSC
  • Public Key Infrastructure
  • BitLocker Network Unlock Feature installiert (Teil 20d)

Die Verwendung von Virtual Smart Cards konfigurieren – Schritte:

  • Zertifikatsvorlage für die Windows-Anmeldung mit Smart Card konfigurieren
  • Auf CLIENT004 eine virtuelle Smart Card erzeugen
  • Zertifikat anfordern
  • Die virtuelle Smart Card verwenden

Zertifikatsvorlage für die Windows-Anmeldung mit Smart Card konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    VIRTUAL_SMARTCARD-001
  5. Im Detailbereich die Zertifikatsvorlage Smartcard Logon rechts anklicken und im Kontextmenü Duplicate Template anklicken
    VIRTUAL_SMARTCARD-002 Weiterlesen

Teil 20c: TPM-Sperre mittels Besitzerkennwortdatei zurücksetzen

Veröffentlicht am von
Antworten

TPM-Sperre mittels Besitzerkennwortdatei zurücksetzen – Schritte:

  • Windows 7-Task Sequence für BitLocker konfigurieren und Client003 aufsetzen
  • TPM-OwnerInformation in Active Directory für Windows 8 finden
  • TPM-OwnerInformation in Active Directory für Windows 7 finden
  • tpm_owner.tpm-Datei erstellen
  • TPM-Sperre zurücksetzen

Mit Windows Server 2012 und Windows 8 hat Microsoft das TPM-Management ins Active Directory-Schema integiert. Die TPM-OwnerInformation steht nicht mehr als Attribut direkt beim Computer-Objekt (msTPM-OwnerInformation), sondern ist mit einem eigenen TPM-InformationObject (ms-TPM-InformationObject) verlinkt. Vorsicht beim Löschen von Computer-Objekten in Active Directory: Um Leichen zu vermeiden, zuerst das TPM-InformationObject löschen, dann erst das Computer-Objekt.

In den Gruppenrichtlinien können viele Einstellungen für das TPM konfiguriert werden. Bisher sind wir mit den Standard-Einstellungen ganz gut zurecht gekommen.

Mehr Information dazu unter Trusted Platform Module Technology Overview.

Windows 7-Task Sequence für BitLocker konfigurieren und Client003 aufsetzen

  1. Als Administrator an SERVER02 anmelden
  2. Deployment Workbench starten
  3. OSD Prod Share erweitern
  4. Task Sequences anklicken
  5. Windows 7-Task Sequence rechts anklicken und im Kontextmenü Properties anklicken
  6. Auf den Reiter Task Sequence wechseln
  7. Windows 8-Task Sequence rechts anklicken und im Kontextmenü Properties anklicken
  8. Auf den Reiter Task Sequence wechseln
  9. Den Ordner Enable TPM in BIOS rechts anklicken und im Kontextmenü Copy anklicken
    TPM-001
  10. Zur Windows 7-Task Sequence wechseln
  11. Den Ornder Custom Tasks rechts anklicken und im Kontextmenü Paste anklicken
    TPM-002
  12. Mit Down den Ordner Enable TPM in BIOS aus dem Ordner Custom Tasks verschieben
    TPM-003
  13. Alle Fenster mit OK schließen
  14. Client003 mit Windows 7 und der BitLocker-PIN 1122334 aufsetzen
  15. Als Administrator an Client003 anmelden
    TPM-004
  16. Die Verschlüsselung funktioniert auch unter Windows 7 🙂
  17. Client003 herunterfahren Weiterlesen