Starke Windows-Authentifizierung mit virtuellen Smartcards

Virtuelle Smartcards sollen die Vor­teile von physischen Smart­cards ohne zu­sätzliche Hard­ware bieten. Sie basieren auf einem TPM und authenti­fizieren Benutzer wie eine physische Smart­card mit einem Zertifikat gegen­über dem Active Directory. Die User müssen bei der An­meldung dann nur mehr eine PIN ein­geben.

Die Zwei-Faktor-Authentifizierung ist für Unternehmen eine wichtige Maß­nahme, um die Sicherheit geschäfts­kritischer Daten zu gewährleisten. Physische Smartcards gibt es schon lange, um die Anmelde­sicherheit im Unternehmen zu erhöhen. Virtuelle Smartcards (VSC) sind eine Lösung von Microsoft, die viele Vorteile ihrer physischen Pendants bietet.

Da die Benutzer virtueller Smartcards nur eine PIN zur Anmeldung eingeben, mag man sich fragen, wie es sich dabei um eine Zwei-Faktor-Authentifizierung handeln kann. Neben diesem "Wissen"-Faktor fehlt ja offenbar der "Haben"-Faktor.

Microsoft argumentiert, dass die Verwendung einer virtuellen Smartcard gegenüber der Domäne beweist, dass der zu authen­tifizierende Benutzer den PC besitzt, auf dem die VSC bereitgestellt wurde. Nachdem diese Anfrage nicht von einem anderen System stammen kann, dient der PC somit als "Haben"-Faktor. Anders als das AD-Kennwort ist die PIN nur auf diesem Gerät gültig.

Virtuelle Smartcards erscheinen in Windows als phyische Smartcards, die immer eingesteckt sind. Das Betriebs­system präsentiert den Anwendungen ein virtuelles Lesegerät und eine virtuelle Smartcard über die gleiche Schnittstelle wie physische Smartcards. Nachrichten an und von der virtuellen Smartcard werden jedoch in Befehle für das Trusted Platform Module (TPM) übersetzt.

Virtuelle Smartcards in Windows 10 verwenden

Virtuelle Smartcards können in Windows 10-PCs verwendet werden, die einer AD-Domäne angehören und mit einem Trusted Platform Module (Version 1.2 oder Version 2.0) ausgestattet sind. Darüber hinaus benötigen sie eine zugängliche PKI-Infrastruktur wie zum Beispiel die Microsoft Certificate Services.

Die Bereitstellung virtueller Smartcards umfasst in der einfachsten Form drei Schritte:

• Erstellen der Zertifikatvorlage, die für das Ausstellen des Login-Zertifikats benötigt wird
• Erzeugen der virtuellen Smartcard
• Ausstellen des Zertifikats für die virtuelle Smartcard

Um zu überprüfen, ob der Rechner ein Trusted Platform Module (TPM) installiert hat, führen Sie tpm.msc aus. Beachten Sie die Informationen zu Status und Spezifikation.

Erstellen der Zertifikatvorlage

Ich werde in dieser Anleitung die Microsoft Certificate Services als PKI-Infrastruktur in der Windows-Domäne verwenden. Als erstes müssen wir eine Zertifikatvorlage erstellen, um die TPM-gestützte virtuelle Smartcard zu registrieren. Die Verwaltungs­konsole für Zertifikatvorlagen öffnet man am schnellsten durch die Eingabe von certtmpl.msc.

Dort duplizieren man die Vorlage Smartcard Logon ("Smartcard-Anmeldung") und passt in dieser Kopie zuerst den Namen und die Gültigkeits­dauer der Zertifikat­vorlage an.

Wählen Sie für den Zweck der neuen Zertifikat­vorlage im Tab Request Handling ("Anforderungs­verarbeitung") Signature and smartcard logon ("Signatur und Smartcard-Anmeldung"). Aktivieren Sie Prompt user during enrollment ("Benutzer zur Eingabe während der Registrierung auffordern").

Stellen Sie sicher, dass unter Cryptography ("Kryptografie") die Schlüsselgröße auf 2048 Bit eingestellt ist. Wählen Sie "Requests must use one of the following providers" und aktivieren Sie dann "Microsoft Base Smart Card Crypto Provider".

Auf der Registerkarte Security ("Sicherheit") legen Sie fest, wer mit dieser Vorlage ein Zertifikat anfordern darf. Wenn Sie möchten, dass jeder diese Möglichkeit hat, wählen Sie Authentifizierte Benutzer und aktivieren Sie dann Enroll ("Registrieren").

Damit ist das Erstellen der neuen Zertifikat­vorlage abgeschlossen.

Neue Vorlage ausstellen

Starten Sie nun die Konsole der Zertifizierungs­stelle (certsrv.msc), öffnen das das Kontextmenü von Certificate Templates ("Zertifikatvorlagen"), und führen New => Certificate Template to issue ("Neu => Auszu­stellende Zertifikat­vorlage") aus.

Wählen Sie den Namen der zuvor erstellten Zertifikat­vorlage und klicken Sie auf OK.

Nachdem die Zertifikat­vorlage erfolgreich ausgestellt wurde, sollten Sie die Zertifikatsdienste auf Ihrer CA stoppen und neu starten.

Virtuelle Smartcard erstellen

Um die virtuelle Smartcard zu erzeugen, führt man folgenden Befehl auf dem Windows-10-Client aus:

tpmvscmgr.exe create /name VSCtest /pin prompt /adminkey random /generate

Wenn Sie den Schalter prompt verwenden, werden Sie zur Eingabe der PIN aufgefordert. Die Option generate hingegen generiert die PIN.

Nach dem Ausführen des Befehls werden Sie zur Eingabe der PIN aufgefordert. Diese muss man zusätzlich bestätigen. Die virtuelle Smartcard sollte dann erfolgreich generiert werden.

Zertifikat für Virtual Smartcard ausstellen

Nachdem wir die virtuelle Smartcard auf dem Client erstellt haben, können wir das benötigte Zertifikat anfordern, um den Prozess abzuschließen.

Öffnen Sie zunächst den Zertifikats­manager (certmgr.msc) für den persönlichen Speicher des Benutzers und dort das Kontextmenü von Personal ("Eigene Zertifikate"). Hier führen sie den Befehl All Tasks => Request New Certificate ("Alle Aufgaben => Neues Zertifikat anfordern") aus.

Dies startet den Wizard für die Zertifikats­anforderung. Klicken Sie im Bildschirm "Select Certificate Enrollment Policy" auf Weiter.

Wählen Sie nun den Namen der von Ihnen erstellten Zertifikat­vorlage aus und klicken Sie dann auf Enroll ("Registrieren").

Geben Sie die PIN ein, die Sie beim Erstellen der virtuellen Smartcard festgelegt haben.

Mit virtueller Smartcard anmelden

Beim nächsten Logon haben Sie nun die Möglichkeit, sich mit der virtuellen Smartcard anzumelden. Geben Sie dazu Ihre PIN ein, mit der Sie die virtuelle Smartcard erstellt haben.

Zusammenfassung

Virtuelle Smartcards sind eine gute Möglichkeit, die Anmelde­sicherheit in Windows zu erhöhen, ohne dass man zusätzliche Hardware an den PCs anbringen muss. Wenn die Rechner über ein TPM verfügen, müssen Sie lediglich die Zertifikat­vorlage sowie die virtuelle Smartcard erstellen und dann die VSC-Vorlage für die Endbenutzer bereitstellen.

Nachdem eine VSC ausgestellt wurde, steht eine neue Option bei der Anmeldung zur Verfügung. Sie erwartet die Eingabe der PIN, welche bei der Erstellung der virtuellen Smartcard konfiguriert wurde.

Die Bereitstellung virtueller Smartcards in großen Umgebungen erfordert zusätzliche Werkzeuge, um die Personalisierung jeder einzelnen Smartcard beim Erstellen mit dem Tpmvscmgr zu vermeiden. Darüber hinaus benötigt man möglicher­weise Verwaltungs­lösungen von Drittanbietern, um die Zertifikate zu erneuern oder zu widerrufen.

Wenn eine virtuelle Smartcard kompromittiert wird und der Administrator die zugehörigen Credentials widerrufen möchte, erfordert dies eine Aufzeichnung darüber, welche Anmeldedaten zu welchem Benutzer und Computer passen. Diese Funktionalität ist in Windows nicht vorhanden und somit ein Fall für ein weiteres externes Tool.