Teil 21: Die Verwendung von Virtual Smart Cards konfigurieren

Virtual Smart Card (VSC) wurde mit Windows 8 und Windows Server 2012 eingeführt. Sie bieten zu physischen Smart Cards eine vergleichbare Sicherheit (Besitz und Wissen). VSCs emulieren eine physische Smart Card, speichern das Zertifikat aber am TPM-Chip mit all seinen Sicherheitsfunktionen (Sperre bei häufigen Fehlversuchen, Anti-Hammering). Wie man die TPM-Sperre aufhebt, habe ich in Teil 20c beschrieben. Praktisch sind VSCs in Verbindung mit Tablets, die selten ein physisches Kartenlesegerät eingebaut haben (z.B. Microsoft Surface). So kann man z.B. mit DirectAccess mittels Zwei-Faktor-Authentifizierung auf Unternehmensressouren zugreifen.

Voraussetzungen:

  • mind. Windows Server 2012, mind. Windows 8
  • TPM Version 1.2 und Version 2.0; eingeschaltet und aktiviert, Besitz übernommen; darf nicht gesperrt sein
  • max. 10 VSCs pro Device
  • max. 30 Zertifikate pro VSC
  • Public Key Infrastructure
  • BitLocker Network Unlock Feature installiert (Teil 20d)

Die Verwendung von Virtual Smart Cards konfigurieren – Schritte:

  • Zertifikatsvorlage für die Windows-Anmeldung mit Smart Card konfigurieren
  • Auf CLIENT004 eine virtuelle Smart Card erzeugen
  • Zertifikat anfordern
  • Die virtuelle Smart Card verwenden

Zertifikatsvorlage für die Windows-Anmeldung mit Smart Card konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    VIRTUAL_SMARTCARD-001
  5. Im Detailbereich die Zertifikatsvorlage Smartcard Logon rechts anklicken und im Kontextmenü Duplicate Template anklicken
    VIRTUAL_SMARTCARD-002
  6. Properties of New Template
    1. Reiter General
      1. Template display name: Haimann Virtual Smart Card for Logon
      2. Validity Period: 5 Years
        VIRTUAL_SMARTCARD-003
    2. Reiter Request Handling
      1. Purpose: Signature and smartcard logon
        VIRTUAL_SMARTCARD-004
    3. Reiter Cryptography
      1. Minimum key size: 2048
      2. Requests must use one of the following providers:
        1. Providers: Microsoft Base Smart Card Crypto Provider
          VIRTUAL_SMARTCARD-005
    4. Reiter Security
      1. Authenticated Users > Allow Read, Enroll > OK
        VIRTUAL_SMARTCARD-006
  7. Certificate Template Console schließen
    VIRTUAL_SMARTCARD-007
  8. In der Certification Authority-Konsole Cerificate Templates rechts anklicken und im Kontextmenü New > Certificate Template to Issue anklicken
    VIRTUAL_SMARTCARD-008
  9. Enable Certificate Templates
    1. Haimann Virtual Smart Card for Logon > OK
      VIRTUAL_SMARTCARD-009
  10. Alle Fenster schließen
    VIRTUAL_SMARTCARD-010
  11. Administrator von SERVER01 abmelden

Auf CLIENT004 eine Virtuelle Smart Card erzeugen

  1. Als Markus auf CLIENT004 anmelden
  2. Eingabeaufforderung (Administrator) starten
  3. Mit folgendem Befehl eine virtuelle Smart Card am TPM-Chip erzeugen
    tpmvscmgr create /name "VirtualSmartCardforLogon" /pin prompt /adminkey default /generate
  4. PIN 11223344 eingeben und bestätigen
  5. Die virtuelle Smart Card wurde erfolgreich erstellt
    VIRTUAL_SMARTCARD-011
  6. Eingabeaufforderung schließen

Zertifikat anfordern

  1. Auf CLIENT004 Start > Suche: MMC
  2. Das Zertifikate-Snap-In für Aktueller Benutzer hinzufügen
    VIRTUAL_SMARTCARD-012
  3. Zertifikate – Aktueller Benutzer erweitern
  4. Eigene Zertifikate rechts anklicken und im Kontextmenü Alle Aufgaben > Neues Zertifikat anfordern… anklicken
    VIRTUAL_SMARTCARD-013
  5. Zertifikatregistrierung
    1. Vorbereitung > Weiter
      VIRTUAL_SMARTCARD-014
    2. Zertifikatregistrierungsrichtlinie auswählen > Weiter
      VIRTUAL_SMARTCARD-015
    3. Zertifikate anfordern: Haimann Virtual Smart Card for Logon > Registrieren
      VIRTUAL_SMARTCARD-016
    4. Registrierung für: Haimann Virtual Smart Card for Logon
      1. PIN: 11223344 > OK
        VIRTUAL_SMARTCARD-017
    5. Zertifikatinstallationsergebnisse > Fertig stellen
      VIRTUAL_SMARTCARD-018
  6. MMC schließen
    VIRTUAL_SMARTCARD-019

Die virtuelle Smart Card verwenden

  1. Auf CLIENT004 im Windows Explorer Netzlaufwerk verbinden
  2. Verbindung mit anderen Anmeldeinformationen herstellen anhaken > Fertig stellen
    VIRTUAL_SMARTCARD-020
  3. Windows-Sicherheit: Die PIN-Eingabe mit dem Symbol für die virtuelle Smart Card wird angezeigt > Abbrechen > Abbrechen
    VIRTUAL_SMARTCARD-021
  4. Markus von CLIENT004 abmelden
  5. Am Anmeldefenster Markus anklicken
  6. Auf Anmeldeoptionen klicken
  7. Sicherheitsgerät auswählen
  8. Mit der PIN 11223344 an CLIENT004 anmelden
    WP_20140714_17_11_25_Pro

 

CC BY-NC-SA 4.0 Teil 21: Die Verwendung von Virtual Smart Cards konfigurieren von Dietmar Haimann ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.