Starke Windows-Authentifizierung mit virtuellen Smartcards

    SmartcardsVirtuelle Smartcards sollen die Vor­teile von physischen Smart­cards ohne zu­sätzliche Hard­ware bieten. Sie basieren auf einem TPM und authenti­fizieren Benutzer wie eine physische Smart­card mit einem Zertifikat gegen­über dem Active Directory. Die User müssen bei der An­meldung dann nur mehr eine PIN ein­geben.

    Die Zwei-Faktor-Authentifizierung ist für Unternehmen eine wichtige Maß­nahme, um die Sicherheit geschäfts­kritischer Daten zu gewährleisten. Physische Smartcards gibt es schon lange, um die Anmelde­sicherheit im Unternehmen zu erhöhen. Virtuelle Smartcards (VSC) sind eine Lösung von Microsoft, die viele Vorteile ihrer physischen Pendants bietet.

    Da die Benutzer virtueller Smartcards nur eine PIN zur Anmeldung eingeben, mag man sich fragen, wie es sich dabei um eine Zwei-Faktor-Authentifizierung handeln kann. Neben diesem "Wissen"-Faktor fehlt ja offenbar der "Haben"-Faktor.

    Microsoft argumentiert, dass die Verwendung einer virtuellen Smartcard gegenüber der Domäne beweist, dass der zu authen­tifizierende Benutzer den PC besitzt, auf dem die VSC bereitgestellt wurde. Nachdem diese Anfrage nicht von einem anderen System stammen kann, dient der PC somit als "Haben"-Faktor. Anders als das AD-Kennwort ist die PIN nur auf diesem Gerät gültig.

    Virtuelle Smartcards erscheinen in Windows als phyische Smartcards, die immer eingesteckt sind. Das Betriebs­system präsentiert den Anwendungen ein virtuelles Lesegerät und eine virtuelle Smartcard über die gleiche Schnittstelle wie physische Smartcards. Nachrichten an und von der virtuellen Smartcard werden jedoch in Befehle für das Trusted Platform Module (TPM) übersetzt.

    Virtuelle Smartcards in Windows 10 verwenden

    Virtuelle Smartcards können in Windows 10-PCs verwendet werden, die einer AD-Domäne angehören und mit einem Trusted Platform Module (Version 1.2 oder Version 2.0) ausgestattet sind. Darüber hinaus benötigen sie eine zugängliche PKI-Infrastruktur wie zum Beispiel die Microsoft Certificate Services.

    Die Bereitstellung virtueller Smartcards umfasst in der einfachsten Form drei Schritte:

    • Erstellen der Zertifikatvorlage, die für das Ausstellen des Login-Zertifikats benötigt wird
    • Erzeugen der virtuellen Smartcard
    • Ausstellen des Zertifikats für die virtuelle Smartcard

    Um zu überprüfen, ob der Rechner ein Trusted Platform Module (TPM) installiert hat, führen Sie tpm.msc aus. Beachten Sie die Informationen zu Status und Spezifikation.

    Vorhandensein eines TPM im Computer verifizieren

    Erstellen der Zertifikatvorlage

    Ich werde in dieser Anleitung die Microsoft Certificate Services als PKI-Infrastruktur in der Windows-Domäne verwenden. Als erstes müssen wir eine Zertifikatvorlage erstellen, um die TPM-gestützte virtuelle Smartcard zu registrieren. Die Verwaltungs­konsole für Zertifikatvorlagen öffnet man am schnellsten durch die Eingabe von certtmpl.msc.

    Vorlage für Smartcard Logon duplizieren

    Dort duplizieren man die Vorlage Smartcard Logon ("Smartcard-Anmeldung") und passt in dieser Kopie zuerst den Namen und die Gültigkeits­dauer der Zertifikat­vorlage an.

    Namen und Gültigkeitszeitraum für das Template angeben

    Wählen Sie für den Zweck der neuen Zertifikat­vorlage im Tab Request Handling ("Anforderungs­verarbeitung") Signature and smartcard logon ("Signatur und Smartcard-Anmeldung"). Aktivieren Sie Prompt user during enrollment ("Benutzer zur Eingabe während der Registrierung auffordern").

    Zweck der Vorlage auswählen

    Stellen Sie sicher, dass unter Cryptography ("Kryptografie") die Schlüsselgröße auf 2048 Bit eingestellt ist. Wählen Sie "Requests must use one of the following providers" und aktivieren Sie dann "Microsoft Base Smart Card Crypto Provider".

    Kryptografische Einstellungen für die neue Zertifikatvorlage

    Auf der Registerkarte Security ("Sicherheit") legen Sie fest, wer mit dieser Vorlage ein Zertifikat anfordern darf. Wenn Sie möchten, dass jeder diese Möglichkeit hat, wählen Sie Authentifizierte Benutzer und aktivieren Sie dann Enroll ("Registrieren").

    Authentifizierte Benutzer zur Nutzung der Vorlage zulassen

    Damit ist das Erstellen der neuen Zertifikat­vorlage abgeschlossen.

    Neue Vorlage ausstellen

    Starten Sie nun die Konsole der Zertifizierungs­stelle (certsrv.msc), öffnen das das Kontextmenü von Certificate Templates ("Zertifikatvorlagen"), und führen New => Certificate Template to issue ("Neu => Auszu­stellende Zertifikat­vorlage") aus.

    Liste mit den Zertifikatvorlagen öffnen

    Wählen Sie den Namen der zuvor erstellten Zertifikat­vorlage und klicken Sie auf OK.

    Stellen Sie die zuvor erstellte virtuelle Smartcard-Vorlage aus

    Nachdem die Zertifikat­vorlage erfolgreich ausgestellt wurde, sollten Sie die Zertifikatsdienste auf Ihrer CA stoppen und neu starten.

    Virtuelle Smartcard erstellen

    Um die virtuelle Smartcard zu erzeugen, führt man folgenden Befehl auf dem Windows-10-Client aus:

    tpmvscmgr.exe create /name VSCtest /pin prompt /adminkey random /generate

    Wenn Sie den Schalter prompt verwenden, werden Sie zur Eingabe der PIN aufgefordert. Die Option generate hingegen generiert die PIN.

    Virtuelle Smartcard mit tpmvscmgr.exe erzeugen

    Nach dem Ausführen des Befehls werden Sie zur Eingabe der PIN aufgefordert. Diese muss man zusätzlich bestätigen. Die virtuelle Smartcard sollte dann erfolgreich generiert werden.

    Zertifikat für Virtual Smartcard ausstellen

    Nachdem wir die virtuelle Smartcard auf dem Client erstellt haben, können wir das benötigte Zertifikat anfordern, um den Prozess abzuschließen.

    Öffnen Sie zunächst den Zertifikats­manager (certmgr.msc) für den persönlichen Speicher des Benutzers und dort das Kontextmenü von Personal ("Eigene Zertifikate"). Hier führen sie den Befehl All Tasks => Request New Certificate ("Alle Aufgaben => Neues Zertifikat anfordern") aus.

    Neues Zertifikat für die Virtual Smartcard anfordern

    Dies startet den Wizard für die Zertifikats­anforderung. Klicken Sie im Bildschirm "Select Certificate Enrollment Policy" auf Weiter.

    Richtlinie für die Zertifikatausstellung wählen

    Wählen Sie nun den Namen der von Ihnen erstellten Zertifikat­vorlage aus und klicken Sie dann auf Enroll ("Registrieren").

    Vorlage für Virtual Smart Card Logon auswählen

    Geben Sie die PIN ein, die Sie beim Erstellen der virtuellen Smartcard festgelegt haben.

    PIN für die virtuelle Smartcard eingeben

    Mit virtueller Smartcard anmelden

    Beim nächsten Logon haben Sie nun die Möglichkeit, sich mit der virtuellen Smartcard anzumelden. Geben Sie dazu Ihre PIN ein, mit der Sie die virtuelle Smartcard erstellt haben.

    Neue Option für die Anmeldung an Windows

    Zusammenfassung

    Virtuelle Smartcards sind eine gute Möglichkeit, die Anmelde­sicherheit in Windows zu erhöhen, ohne dass man zusätzliche Hardware an den PCs anbringen muss. Wenn die Rechner über ein TPM verfügen, müssen Sie lediglich die Zertifikat­vorlage sowie die virtuelle Smartcard erstellen und dann die VSC-Vorlage für die Endbenutzer bereitstellen.

    Nachdem eine VSC ausgestellt wurde, steht eine neue Option bei der Anmeldung zur Verfügung. Sie erwartet die Eingabe der PIN, welche bei der Erstellung der virtuellen Smartcard konfiguriert wurde.

    Die Bereitstellung virtueller Smartcards in großen Umgebungen erfordert zusätzliche Werkzeuge, um die Personalisierung jeder einzelnen Smartcard beim Erstellen mit dem Tpmvscmgr zu vermeiden. Darüber hinaus benötigt man möglicher­weise Verwaltungs­lösungen von Drittanbietern, um die Zertifikate zu erneuern oder zu widerrufen.

    Wenn eine virtuelle Smartcard kompromittiert wird und der Administrator die zugehörigen Credentials widerrufen möchte, erfordert dies eine Aufzeichnung darüber, welche Anmeldedaten zu welchem Benutzer und Computer passen. Diese Funktionalität ist in Windows nicht vorhanden und somit ein Fall für ein weiteres externes Tool.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare