Erste Schritte mit virtuellen Smartcards: Handbuch mit exemplarischer Vorgehensweise

Betrifft: Windows 10, Windows Server 2016

In diesem Thema für IT-Experten wird beschrieben, wie Sie eine grundlegende Testumgebung für die Verwendung virtueller TPM-Smartcards einrichten.

Virtuelle Smartcards sind eine Technologie von Microsoft, die vergleichbare Sicherheitsvorteile bei der zweistufigen Authentifizierung mit physischen Smartcards bietet. Sie bieten auch mehr Komfort für Benutzer und niedrigere Kosten für Organisationen, die bereitgestellt werden müssen. Durch die Verwendung von TPM-Geräten (Trusted Platform Module), die die gleichen kryptografischen Funktionen wie physische Smartcards bereitstellen, erreichen virtuelle Smartcards die drei wichtigsten Eigenschaften, die von Smartcards gewünscht werden: nicht exportierbarkeit, isolierte Kryptografie und Anti-Hammering.

In dieser schrittweisen exemplarischen Vorgehensweise wird gezeigt, wie Sie eine grundlegende Testumgebung für die Verwendung virtueller TPM-Smartcards einrichten. Nachdem Sie diese exemplarische Vorgehensweise abgeschlossen haben, wird eine funktionale virtuelle Smartcard auf dem Windows Computer installiert.

Zeitanforderungen

Sie sollten diese exemplarische Vorgehensweise in weniger als einer Stunde abschließen können, ohne die Installation von Software und das Einrichten der Testdomäne.

Exemplarische Vorgehensweisen

****   Wichtig   Diese grundlegende Konfiguration dient nur zu Testzwecken. Es ist nicht für die Verwendung in einer Produktionsumgebung vorgesehen.

Voraussetzungen

Sie benötigen:

  • Ein Computer, auf dem Windows 10 mit einem installierten und voll funktionsfähigen TPM (Version 1.2 oder Version 2.0) ausgeführt wird.

  • Eine Testdomäne, der der oben aufgeführte Computer hinzugefügt werden kann.

  • Zugriff auf einen Server in dieser Domäne mit einer vollständig installierten und ausgeführten Zertifizierungsstelle

Schritt 1: Erstellen der Zertifikatvorlage

Auf Ihrem Domänenserver müssen Sie eine Vorlage für das Zertifikat erstellen, das Sie für die virtuelle Smartcard anfordern.

So erstellen Sie die Zertifikatvorlage

  1. Öffnen Sie auf Ihrem Server die Microsoft Management Console (MMC). Eine Möglichkeit besteht darin, mmc.exe aus dem Startmenü einzugeben, mit der rechten Maustaste auf mmc.exezu klicken und auf "Als Administrator ausführen" zu klicken.

  2. Klicken Sie auf Dateiund dann auf Snap-In hinzufügen/entfernen.

    Fügen Sie das Snap-In hinzu oder entfernen Sie es.

  3. Klicken Sie in der Liste der verfügbaren Snap-Ins auf "Zertifikatvorlagen" und dann auf "Hinzufügen".

    Fügen Sie das Snap-In "Zertifikatvorlagen" hinzu.

  4. Zertifikatvorlagen befinden sich jetzt im Konsolenstamm im MMC. Doppelklicken Sie darauf, um alle verfügbaren Zertifikatvorlagen anzuzeigen.

  5. Klicken Sie mit der rechten Maustaste auf die Smartcard-Anmeldevorlage, und klicken Sie auf "Vorlage duplizieren".

    Duplizieren der Smartcard-Anmeldevorlage.

  6. Überprüfen Sie auf der Registerkarte "Kompatibilität" unter "Zertifizierungsstelle" die Auswahl, und ändern Sie sie bei Bedarf.

    Registerkarte "Kompatibilität", Einstellung der Zertifizierungsstelle.

  7. Auf der Registerkarte "Allgemein":

    1. Geben Sie einen Namen an, z. B. tpm Virtual Smart Card Logon.

    2. Legen Sie den Gültigkeitszeitraum auf den gewünschten Wert fest.

  8. Auf der Registerkarte "Anforderungsverarbeitung":

    1. Legen Sie den Zweck auf Signatur und Smartcard-Anmeldungfest.

    2. Klicken Sie während der Registrierung auf "Benutzer auffordern".

  9. Auf der Registerkarte "Kryptografie":

    1. Legen Sie die mindeste Schlüsselgröße auf 2048 fest.

    2. Click Requests must use one of the following providers, and then select Microsoft Base Smart Card Crypto Provider.

  10. Fügen Sie auf der Registerkarte "Sicherheit" die Sicherheitsgruppe hinzu, auf die Sie "Registrieren" zugreifen möchten. Wenn Sie z. B. allen Benutzern Zugriff gewähren möchten, wählen Sie die Gruppe authentifizierte Benutzer aus, und wählen Sie dann die Berechtigungen für diese Benutzer registrieren aus.

  11. Klicken Sie auf "OK", um die Änderungen abzuschließen und die neue Vorlage zu erstellen. Ihre neue Vorlage sollte nun in der Liste der Zertifikatvorlagen angezeigt werden.

  12. Wählen Sie "Datei" aus, und klicken Sie dann auf "Snap-In hinzufügen/entfernen", um der MMC-Konsole das Zertifizierungsstellen-Snap-In hinzuzufügen. Wenn Sie gefragt werden, welchen Computer Sie verwalten möchten, wählen Sie den Computer aus, auf dem sich die Zertifizierungsstelle befindet, wahrscheinlich lokaler Computer.

    Fügen Sie das Zertifizierungsstellen-Snap-In hinzu.

  13. Erweitern Sie im linken Bereich des MMC die Zertifizierungsstelle (lokal) und dann Ihre Zertifizierungsstelle innerhalb der Zertifizierungsstellenliste.

  14. Klicken Sie mit der rechten Maustaste auf "Zertifikatvorlagen", klicken Sie auf "Neu" und dann auf "Zertifikatvorlage" zum Ausstellen.

    Klicken Sie mit der rechten Maustaste auf das Menü für Zertifikatvorlagen.

  15. Wählen Sie in der Liste die neue Vorlage aus, die Sie soeben erstellt haben (TPM Virtual Smart Card Logon), und klicken Sie dann auf OK.

    ****   Hinweis   Es kann einige Zeit dauern, bis ihre Vorlage auf allen Servern repliziert wurde und in dieser Liste verfügbar ist.

    Auswählen einer Zertifikatvorlage.

  16. Nachdem die Vorlage repliziert wurde, klicken Sie im MMC mit der rechten Maustaste in die Zertifizierungsstellenliste, klicken Sie auf "Alle Aufgaben" und dann auf "Dienst beenden". Klicken Sie dann erneut mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, klicken Sie auf "Alle Aufgaben" und dann auf "Dienst starten".

    Beenden und Starten des Diensts.

Schritt 2: Erstellen der virtuellen TPM-Smartcard

In diesem Schritt erstellen Sie die virtuelle Smartcard auf dem Clientcomputer mithilfe des Befehlszeilentools Tpmvscmgr.exe.

So erstellen Sie die virtuelle TPM-Smartcard

  1. Öffnen Sie auf einem in die Domäne eingebundenen Computer ein Eingabeaufforderungsfenster mit Administratoranmeldeinformationen.

    Cmd-Eingabeaufforderung, Als Administrator ausführen.

  2. Geben Sie an der Eingabeaufforderung Folgendes ein, und drücken Sie dann die EINGABETASTE:

    tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

    Dadurch wird eine virtuelle Smartcard mit dem Namen TestVSCerstellt, der Entsperrschlüssel weggelassen und das Dateisystem auf der Karte generiert. Die PIN wird auf die Standardeinstellung 12345678 festgelegt. Um zur Eingabe einer PIN aufgefordert zu werden, können Sie anstelle der Standardeinstellung "/pin" die Eingabeaufforderung "/pin" eingeben.

    Weitere Informationen zum Tpmvscmgr-Befehlszeilentool finden Sie unter Verwenden von virtuellen Smartcards und Tpmvscmgr.

  3. Warten Sie mehrere Sekunden, bis der Vorgang abgeschlossen ist. Nach Abschluss der Tpmvscmgr.exe erhalten Sie die Geräteinstanz-ID für die virtuelle TPM-Smartcard. Store diese ID für einen späteren Verweis, da Sie sie zum Verwalten oder Entfernen der virtuellen Smartcard benötigen.

Schritt 3: Registrieren für das Zertifikat auf der virtuellen TPM-Smartcard

Die virtuelle Smartcard muss mit einem Anmeldezertifikat bereitgestellt werden, damit sie voll funktionsfähig ist.

So registrieren Sie das Zertifikat

  1. Öffnen Sie die Zertifikatkonsole, indem Sie certmgr.msc im Startmenü eingeben.

  2. Klicken Sie mit der rechten Maustaste auf "Persönlich", klicken Sie auf "Alle Aufgaben" und dann auf "Neues Zertifikat anfordern".

    Anfordern eines neuen Zertifikats.

  3. Folgen Sie den Aufforderungen, und aktivieren Sie beim Anbieten einer Liste von Vorlagen das Kontrollkästchen "TPM Virtual Smart Card Logon" (oder das, was Sie in Schritt 1 als Vorlage bezeichnet haben).

    Zertifikatregistrierung, Zertifikat auswählen.

  4. Wenn Sie zur Eingabe eines Geräts aufgefordert werden, wählen Sie die virtuelle Microsoft-Smartcard aus, die der karte entspricht, die Sie im vorherigen Abschnitt erstellt haben. Es wird als Identitätsgerät (Microsoft Profile) angezeigt.

  5. Geben Sie die PIN ein, die beim Erstellen der virtuellen TPM-Smartcard eingerichtet wurde, und klicken Sie dann auf "OK".

  6. Warten Sie, bis die Registrierung abgeschlossen ist, und klicken Sie dann auf "Fertig stellen".

Die virtuelle Smartcard kann jetzt als alternative Anmeldeinformationen für die Anmeldung bei Ihrer Domäne verwendet werden. Um zu überprüfen, ob die Konfiguration der virtuellen Smartcard und die Zertifikatregistrierung erfolgreich war, melden Sie sich von Der aktuellen Sitzung ab, und melden Sie sich dann an. Wenn Sie sich anmelden, wird das Symbol für die neue virtuelle TPM-Smartcard auf dem Bildschirm "Sicherer Desktop (Anmelden)" angezeigt, oder Sie werden automatisch zum Dialogfeld für die TPM-Smartcard-Anmeldung weitergeleitet. Klicken Sie auf das Symbol, geben Sie Ihre PIN ein (falls erforderlich), und klicken Sie dann auf "OK". Sie sollten bei Ihrem Domänenkonto angemeldet sein.

Weitere Informationen