Tags: Authentifizierung, Zertifikate, Windows 10
Virtuelle Smartcards sollen die Vorteile von physischen Smartcards ohne zusätzliche Hardware bieten. Sie basieren auf einem TPM und authentifizieren Benutzer wie eine physische Smartcard mit einem Zertifikat gegenüber dem Active Directory. Die User müssen bei der Anmeldung dann nur mehr eine PIN eingeben.
Die Zwei-Faktor-Authentifizierung ist für Unternehmen eine wichtige Maßnahme, um die Sicherheit geschäftskritischer Daten zu gewährleisten. Physische Smartcards gibt es schon lange, um die Anmeldesicherheit im Unternehmen zu erhöhen. Virtuelle Smartcards (VSC) sind eine Lösung von Microsoft, die viele Vorteile ihrer physischen Pendants bietet.
Da die Benutzer virtueller Smartcards nur eine PIN zur Anmeldung eingeben, mag man sich fragen, wie es sich dabei um eine Zwei-Faktor-Authentifizierung handeln kann. Neben diesem "Wissen"-Faktor fehlt ja offenbar der "Haben"-Faktor.
Microsoft argumentiert, dass die Verwendung einer virtuellen Smartcard gegenüber der Domäne beweist, dass der zu authentifizierende Benutzer den PC besitzt, auf dem die VSC bereitgestellt wurde. Nachdem diese Anfrage nicht von einem anderen System stammen kann, dient der PC somit als "Haben"-Faktor. Anders als das AD-Kennwort ist die PIN nur auf diesem Gerät gültig.
Virtuelle Smartcards erscheinen in Windows als phyische Smartcards, die immer eingesteckt sind. Das Betriebssystem präsentiert den Anwendungen ein virtuelles Lesegerät und eine virtuelle Smartcard über die gleiche Schnittstelle wie physische Smartcards. Nachrichten an und von der virtuellen Smartcard werden jedoch in Befehle für das Trusted Platform Module (TPM) übersetzt.
Virtuelle Smartcards in Windows 10 verwenden
Virtuelle Smartcards können in Windows 10-PCs verwendet werden, die einer AD-Domäne angehören und mit einem Trusted Platform Module (Version 1.2 oder Version 2.0) ausgestattet sind. Darüber hinaus benötigen sie eine zugängliche PKI-Infrastruktur wie zum Beispiel die Microsoft Certificate Services.
Die Bereitstellung virtueller Smartcards umfasst in der einfachsten Form drei Schritte:
- Erstellen der Zertifikatvorlage, die für das Ausstellen des Login-Zertifikats benötigt wird
- Erzeugen der virtuellen Smartcard
- Ausstellen des Zertifikats für die virtuelle Smartcard
Um zu überprüfen, ob der Rechner ein Trusted Platform Module (TPM) installiert hat, führen Sie tpm.msc aus. Beachten Sie die Informationen zu Status und Spezifikation.
Erstellen der Zertifikatvorlage
Ich werde in dieser Anleitung die Microsoft Certificate Services als PKI-Infrastruktur in der Windows-Domäne verwenden. Als erstes müssen wir eine Zertifikatvorlage erstellen, um die TPM-gestützte virtuelle Smartcard zu registrieren. Die Verwaltungskonsole für Zertifikatvorlagen öffnet man am schnellsten durch die Eingabe von certtmpl.msc.
Dort duplizieren man die Vorlage Smartcard Logon ("Smartcard-Anmeldung") und passt in dieser Kopie zuerst den Namen und die Gültigkeitsdauer der Zertifikatvorlage an.
Wählen Sie für den Zweck der neuen Zertifikatvorlage im Tab Request Handling ("Anforderungsverarbeitung") Signature and smartcard logon ("Signatur und Smartcard-Anmeldung"). Aktivieren Sie Prompt user during enrollment ("Benutzer zur Eingabe während der Registrierung auffordern").
Stellen Sie sicher, dass unter Cryptography ("Kryptografie") die Schlüsselgröße auf 2048 Bit eingestellt ist. Wählen Sie "Requests must use one of the following providers" und aktivieren Sie dann "Microsoft Base Smart Card Crypto Provider".
Auf der Registerkarte Security ("Sicherheit") legen Sie fest, wer mit dieser Vorlage ein Zertifikat anfordern darf. Wenn Sie möchten, dass jeder diese Möglichkeit hat, wählen Sie Authentifizierte Benutzer und aktivieren Sie dann Enroll ("Registrieren").
Damit ist das Erstellen der neuen Zertifikatvorlage abgeschlossen.
Neue Vorlage ausstellen
Starten Sie nun die Konsole der Zertifizierungsstelle (certsrv.msc), öffnen das das Kontextmenü von Certificate Templates ("Zertifikatvorlagen"), und führen New => Certificate Template to issue ("Neu => Auszustellende Zertifikatvorlage") aus.
Wählen Sie den Namen der zuvor erstellten Zertifikatvorlage und klicken Sie auf OK.
Nachdem die Zertifikatvorlage erfolgreich ausgestellt wurde, sollten Sie die Zertifikatsdienste auf Ihrer CA stoppen und neu starten.
Virtuelle Smartcard erstellen
Um die virtuelle Smartcard zu erzeugen, führt man folgenden Befehl auf dem Windows-10-Client aus:
tpmvscmgr.exe create /name VSCtest /pin prompt /adminkey random /generate
Wenn Sie den Schalter prompt verwenden, werden Sie zur Eingabe der PIN aufgefordert. Die Option generate hingegen generiert die PIN.
Nach dem Ausführen des Befehls werden Sie zur Eingabe der PIN aufgefordert. Diese muss man zusätzlich bestätigen. Die virtuelle Smartcard sollte dann erfolgreich generiert werden.
Zertifikat für Virtual Smartcard ausstellen
Nachdem wir die virtuelle Smartcard auf dem Client erstellt haben, können wir das benötigte Zertifikat anfordern, um den Prozess abzuschließen.
Öffnen Sie zunächst den Zertifikatsmanager (certmgr.msc) für den persönlichen Speicher des Benutzers und dort das Kontextmenü von Personal ("Eigene Zertifikate"). Hier führen sie den Befehl All Tasks => Request New Certificate ("Alle Aufgaben => Neues Zertifikat anfordern") aus.
Dies startet den Wizard für die Zertifikatsanforderung. Klicken Sie im Bildschirm "Select Certificate Enrollment Policy" auf Weiter.
Wählen Sie nun den Namen der von Ihnen erstellten Zertifikatvorlage aus und klicken Sie dann auf Enroll ("Registrieren").
Geben Sie die PIN ein, die Sie beim Erstellen der virtuellen Smartcard festgelegt haben.
Mit virtueller Smartcard anmelden
Beim nächsten Logon haben Sie nun die Möglichkeit, sich mit der virtuellen Smartcard anzumelden. Geben Sie dazu Ihre PIN ein, mit der Sie die virtuelle Smartcard erstellt haben.
Zusammenfassung
Virtuelle Smartcards sind eine gute Möglichkeit, die Anmeldesicherheit in Windows zu erhöhen, ohne dass man zusätzliche Hardware an den PCs anbringen muss. Wenn die Rechner über ein TPM verfügen, müssen Sie lediglich die Zertifikatvorlage sowie die virtuelle Smartcard erstellen und dann die VSC-Vorlage für die Endbenutzer bereitstellen.
Nachdem eine VSC ausgestellt wurde, steht eine neue Option bei der Anmeldung zur Verfügung. Sie erwartet die Eingabe der PIN, welche bei der Erstellung der virtuellen Smartcard konfiguriert wurde.
Die Bereitstellung virtueller Smartcards in großen Umgebungen erfordert zusätzliche Werkzeuge, um die Personalisierung jeder einzelnen Smartcard beim Erstellen mit dem Tpmvscmgr zu vermeiden. Darüber hinaus benötigt man möglicherweise Verwaltungslösungen von Drittanbietern, um die Zertifikate zu erneuern oder zu widerrufen.
Wenn eine virtuelle Smartcard kompromittiert wird und der Administrator die zugehörigen Credentials widerrufen möchte, erfordert dies eine Aufzeichnung darüber, welche Anmeldedaten zu welchem Benutzer und Computer passen. Diese Funktionalität ist in Windows nicht vorhanden und somit ein Fall für ein weiteres externes Tool.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Mit Zertifikaten an Azure Active Directory authentifizieren
- Authentifizierung ohne Passwörter mit Windows Hello for Business
- BitLocker Network Unlock: PCs mit verschlüsselten Laufwerken remote verwalten
- Auf gesperrten Windows-Desktop eines Users zugreifen, ohne das Passwort zu kennen
- Platform Services Controller und vCenter SSO: Konzept und Konfiguration