Verwenden virtueller Smartcards

Betrifft: Windows 10, Windows Server 2016

In diesem Thema für IT-Experten werden die Anforderungen für virtuelle Smartcards, die Verwendung virtueller Smartcards und tools beschrieben, die Ihnen beim Erstellen und Verwalten helfen.

Anforderungen, Einschränkungen und Einschränkungen

Bereich Anforderungen und Details
Unterstützte Betriebssysteme Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows 10
Windows 8.1
Windows 8
Unterstütztes Trusted Platform Module (TPM) Jedes TPM, das den TPM-Hauptspezifikationen für Version 1.2 oder Version 2.0 (wie von der Trusted Computing Group festgelegt) entspricht, wird für die Verwendung als virtuelle Smartcard unterstützt. Weitere Informationen finden Sie in der TPM-Hauptspezifikation.
Unterstützte virtuelle Smartcards pro Computer Zehn Smartcards können gleichzeitig mit einem Computer oder Gerät verbunden werden. Dazu gehören physische und virtuelle Smartcards in Kombination.

Hinweis
Sie können mehrere virtuelle Smartcards erstellen. Nach dem Erstellen von mehr als vier virtuellen Smartcards können Sie jedoch eine Leistungsbeeinträchtigung feststellen. Da alle Smartcards so angezeigt werden, als ob sie immer eingefügt werden, kann jede Person alle virtuellen Smartcards sehen, die auf diesem Computer oder Gerät erstellt werden, wenn mehrere Personen einen Computer oder ein Gerät teilen. Wenn der Benutzer die PIN-Werte für alle virtuellen Smartcards kennt, kann er sie auch verwenden.
Unterstützte Anzahl von Zertifikaten auf einer virtuellen Smartcard Eine einzelne virtuelle TPM-Smartcard kann 30 unterschiedliche Zertifikate mit den entsprechenden privaten Schlüsseln enthalten. Benutzer können weiterhin Zertifikate auf der Karte verlängern, bis die Gesamtzahl der Zertifikate auf einer Karte 90 überschreitet. Der Grund dafür, dass sich die Gesamtzahl der Zertifikate von der Gesamtzahl der privaten Schlüssel unterscheidet, besteht darin, dass die Verlängerung manchmal mit demselben privaten Schlüssel erfolgen kann – in diesem Fall wird kein neuer privater Schlüssel generiert.
PIN, PIN Unlock Key (PUK) und Administrative Schlüsselanforderungen Die PIN und das PUK müssen mindestens acht Zeichen umfassen, die Zahlen, alphabetische Zeichen und Sonderzeichen enthalten können.
Der Administratorschlüssel muss als 48 Hexadezimalzeichen eingegeben werden. Es handelt sich um eine 3-Tasten-Triple-DES mit ISO/IEC 9797-Abstandsmethode 2 im CBC-Verkettungsmodus.

Verwenden von Tpmvscmgr.exe

Um virtuelle TPM-Smartcards für Endbenutzer zu erstellen und zu löschen, ist das Tpmvscmgr-Befehlszeilentool als Befehlszeilentool mit dem Betriebssystem enthalten. Sie können die Parameter "Erstellen" und "Löschen" verwenden, um virtuelle Smartcards auf lokalen oder Remotecomputern zu verwalten. Informationen zur Verwendung dieses Tools finden Sie unter Tpmvscmgr.

Programmgesteuertes Erstellen und Löschen virtueller Smartcards

Virtuelle Smartcards können auch mithilfe von APIs erstellt und gelöscht werden. Weitere Informationen finden Sie in den folgenden Klassen und Schnittstellen:

Sie können APIs verwenden, die in der Windows eingeführt wurden. Device.SmartCards-Namespace in Windows Server 2012 R2 und Windows 8.1, um Microsoft Store Apps zu erstellen, um den gesamten Lebenszyklus virtueller Smartcards zu verwalten. Informationen zum Erstellen einer App finden Sie unter "Starke Authentifizierung: Erstellen von Apps, die virtuelle Smartcards in Enterprise-, BYOD- und Consumerumgebungen nutzen | Build 2013 | Kanal 9.

In der folgenden Tabelle werden die Features beschrieben, die in einer Microsoft Store-App entwickelt werden können:

Feature Physische Smartcard Virtuelle Smartcards
Abfragen und Überwachen von Smartcardlesern Ja Ja
Auflisten der verfügbaren Smartcards in einem Lesegerät und Abrufen des Kartennamens und der Karten-ID Ja Ja
Überprüfen, ob der Administratorschlüssel einer Karte korrekt ist Ja Ja
Bereitstellen (oder Umformaten) einer Karte mit einer bestimmten Karten-ID Ja Ja
Ändern Sie die PIN, indem Sie die alte PIN eingeben und eine neue PIN angeben. Ja Ja
Ändern des Administratorschlüssels, Zurücksetzen der PIN oder Aufheben der Blockierung der Smartcard mithilfe einer Abfrage-/Antwortmethode Ja Ja
Erstellen einer virtuellen Smartcard Nicht zutreffend Ja
Löschen einer virtuellen Smartcard Nicht zutreffend Ja
Festlegen von PIN-Richtlinien Nein Ja

Weitere Informationen zu diesen Windows-APIs finden Sie unter:

Unterscheiden tpmbasierter virtueller Smartcards von physischen Smartcards

Damit Benutzer eine tpmbasierte virtuelle Smartcard (Trusted Platform Module) visuell von physischen Smartcards unterscheiden können, weist die virtuelle Smartcard ein anderes Symbol auf. Das folgende Symbol wird während der Anmeldung und auf anderen Bildschirmen angezeigt, auf denen der Benutzer die PIN für eine virtuelle Smartcard eingeben muss.

Symbol für eine virtuelle Smartcard.

Eine TPM-basierte virtuelle Smartcard wird auf der Benutzeroberfläche als Sicherheitsgerät bezeichnet.

Ändern der PIN

Die PIN für eine virtuelle Smartcard kann mit den folgenden Schritten geändert werden:

  • Melden Sie sich mit der alten PIN oder dem alten Kennwort an.
  • Drücken Sie STRG+ALT+ENTF, und wählen Sie "Kennwort ändern" aus.
  • Wählen Sie Anmeldeoptionenaus.
  • Wählen Sie das Symbol für virtuelle Smartcards aus.
  • Geben Sie die neue PIN ein, und bestätigen Sie sie.

Beheben von Problemen

TPM nicht bereitgestellt

Damit eine TPM-basierte virtuelle Smartcard ordnungsgemäß funktioniert, muss ein bereitgestelltes TPM auf dem Computer verfügbar sein. Wenn das TPM im BIOS deaktiviert ist oder nicht mit vollständigem Besitz und dem Speicherstammschlüssel bereitgestellt wird, schlägt die Erstellung der virtuellen TPM-Smartcard fehl.

Wenn das TPM nach dem Erstellen einer virtuellen Smartcard initialisiert wird, funktioniert die Karte nicht mehr und muss neu erstellt werden.

Wenn der TPM-Besitz auf einer Windows Vista-Installation eingerichtet wurde, ist das TPM nicht für die Verwendung virtueller Smartcards bereit. Der Systemadministrator muss das TPM löschen und initialisieren, damit es für die Erstellung virtueller TPM-Smartcards geeignet ist.

Wenn das Betriebssystem neu installiert wird, sind virtuelle TPM-Smartcards nicht mehr verfügbar und müssen neu erstellt werden. Wenn das Betriebssystem aktualisiert wird, stehen virtuelle TPM-Smartcards für die Verwendung im aktualisierten Betriebssystem zur Verfügung.

TPM im Sperrzustand

Manchmal wechselt das TPM aufgrund häufiger falscher PIN-Versuche eines Benutzers möglicherweise in den Sperrstatus. Um die Verwendung der virtuellen TPM-Smartcard fortzusetzen, müssen Sie die Sperre für das TPM mithilfe des Kennworts des Besitzers zurücksetzen oder warten, bis die Sperrung abläuft. Durch das Aufheben der Blockierung der Benutzer-PIN wird die Sperrung im TPM nicht zurückgesetzt. Wenn das TPM gesperrt ist, wird die virtuelle TPM-Smartcard so angezeigt, als wäre sie blockiert. Wenn das TPM in den Sperrmodus wechselt, weil der Benutzer zu oft eine falsche PIN eingegeben hat, kann es erforderlich sein, die Benutzer-PIN mithilfe der virtuellen Smartcard-Verwaltungstools wie tpmvscmgr-Befehlszeilentool zurückzusetzen.

Weitere Informationen

Informationen zu Authentifizierungs-, Vertraulichkeits- und Datenintegritäts-Anwendungsfällen finden Sie unter Virtual Smart Card Overview.