Introdução aos cartões inteligentes virtuais: guia passo a passo

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Aviso

Windows Hello para Empresas e as chaves de segurança FIDO2 são métodos modernos de autenticação de dois fatores para Windows. Os clientes que usam cartões inteligentes virtuais são incentivados a migrar para Windows Hello para Empresas ou FIDO2. Para novas instalações do Windows, recomendamos Windows Hello para Empresas ou chaves de segurança FIDO2.

Este tópico para o profissional de TI descreve como configurar um ambiente de teste básico para o uso de cartões inteligentes virtuais TPM.

Os cartões inteligentes virtuais são uma tecnologia da Microsoft que oferece benefícios de segurança comparáveis na autenticação de dois fatores para cartões inteligentes físicos. Eles também oferecem mais conveniência para os usuários e menor custo para as organizações implantarem. Ao utilizar dispositivos TPM (Trusted Platform Module) que fornecem as mesmas funcionalidades criptográficas que os cartões inteligentes físicos, os cartões inteligentes virtuais realizam as três principais propriedades desejadas por cartões inteligentes: inexportabilidade, criptografia isolada e anti-martelada.

Este passo a passo mostra como configurar um ambiente de teste básico para usar cartões inteligentes virtuais TPM. Depois de concluir esse passo a passo, você terá um cartão virtual funcional instalado no computador Windows.

Você deve ser capaz de concluir esse passo a passo em menos de uma hora, excluindo a instalação de software e a configuração do domínio de teste.

Etapas passo a passo

• Pré-requisitos
• Etapa 1: criar o modelo de certificado
• Etapa 2: Criar o cartão inteligente virtual do TPM
• Etapa 3: Registrar-se para o certificado no Cartão Inteligente Virtual do TPM

Importante

Essa configuração básica é somente para fins de teste. Ele não se destina a ser usado em um ambiente de produção.

Pré-requisitos

Você precisará do seguinte:

• Um computador que executa Windows 10 com um TPM instalado e totalmente funcional (versão 1.2 ou versão 2.0)
• Um domínio de teste ao qual o computador listado acima pode ser ingressado
• Acesso a um servidor nesse domínio com uma AUTORIDADE de certificação (AC) totalmente instalada e em execução

Etapa 1: criar o modelo de certificado

No servidor de domínio, você precisa criar um modelo para o certificado solicitado para o cartão inteligente virtual.

Para criar o modelo de certificado

1. No servidor, abra o MMC (Console de Gerenciamento da Microsoft). Uma maneira de fazer isso é digitar mmc.exe no menu Iniciar , clicar com o botão direito do mouse emmmc.exee selecionar Executar como administrador
2. SelecionarAdicionar/Remover Snap-in deArquivos>
3. Na lista de snap-ins disponíveis, selecione Modelos de Certificado e selecione Adicionar
4. Os modelos de certificado agora estão localizados em Raiz do Console no MMC. Clique duas vezes nele para exibir todos os modelos de certificado disponíveis
5. Clique com o botão direito do mouse no modelo do Logon do Smartcard e selecione Modelo duplicado
6. Na guia Compatibilidade , em Autoridade de Certificação, examine a seleção e altere-a, se necessário
7. Na guia Geral :
   1. Especificar um nome, como o Logon do Cartão Inteligente Virtual do TPM
   2. Defina o período de validade como o valor desejado
8. Na guia Tratamento de Solicitações :
   1. Defina o logon Purpose toSignature and smartcard
   2. Selecione Solicitar o usuário durante o registro
9. Na guia Criptografia :
   1. Defina o tamanho mínimo da chave como 2048
   2. Selecione Solicitações deve usar um dos provedores a seguir e selecione Provedor de Criptografia de Cartão Inteligente da Base da Microsoft
10. Na guia Segurança , adicione o grupo de segurança ao qual você deseja dar acesso ao Registro . Por exemplo, se você quiser dar acesso a todos os usuários, selecione o grupo de usuários autenticados e selecione Registrar permissões para eles
11. Selecione OK para finalizar suas alterações e criar o novo modelo. Seu novo modelo agora deve aparecer na lista de Modelos de Certificado
12. Selecione Arquivo e, em seguida, selecione Adicionar/Remover Snap-in para adicionar o snap-in da Autoridade de Certificação ao console do MMC. Quando perguntado qual computador você deseja gerenciar, selecione o computador no qual a AC está localizada, provavelmente Computador Local
13. No painel esquerdo do MMC, expanda a Autoridade de Certificação (Local)e expanda sua AC na lista autoridade de certificação
14. Clique com o botão direito do mouse em Modelos de Certificado, selecione Novo e selecione Modelo de Certificado para Emitir
15. Na lista, selecione o novo modelo que você criou (Logon de Cartão Inteligente Virtual TPM) e selecione OK

Observação

Pode levar algum tempo para que seu modelo seja replicado em todos os servidores e fique disponível nesta lista.

1. Depois que o modelo for replicado, no MMC, clique com o botão direito do mouse na lista Autoridade de Certificação, selecione Todas as Tarefas e selecione Parar Serviço. Em seguida, clique com o botão direito do mouse no nome da AC novamente, selecione Todas as Tarefas e selecione Iniciar Serviço.

Etapa 2: Criar o cartão inteligente virtual do TPM

Nesta etapa, você cria o cartão virtual inteligente no computador cliente usando a ferramenta de linha de comando, Tpmvscmgr.exe.

Para criar o cartão inteligente virtual do TPM

1. Em um computador ingressado no domínio, abra uma janela prompt de comando com credenciais administrativas.
2. No prompt de comando, digite o seguinte e pressione ENTER:

tpmvscmgr.exe create /name TestVSC /pin default /adminkey random /generate

Isso cria uma cartão inteligente virtual com o nome TestVSC, omite a chave de desbloqueio e gera o sistema de arquivos no cartão. O PIN é definido como o padrão, 12345678. Para ser solicitado para um PIN, em vez de /pin default , você pode digitar /pin prompt.
Para obter mais informações sobre a ferramenta de linha de comando Tpmvscmgr, consulte Usar Cartões Inteligentes Virtuais e Tpmvscmgr.

1. Aguarde vários segundos para que o processo seja concluído. Após a conclusão, Tpmvscmgr.exe fornece a ID da instância do dispositivo para o TPM Virtual Smart Card. Armazene essa ID para referência posterior porque você precisa dela para gerenciar ou remover a cartão inteligente virtual.

Etapa 3: Registrar-se para o certificado no Cartão Inteligente Virtual do TPM

O cartão inteligente virtual deve ser provisionado com um certificado de entrada para que ele seja totalmente funcional.

Para registrar o certificado

1. Abra o console certificados digitando certmgr.msc no menu Iniciar
2. Clique com o botão direito do mouse em Pessoal, selecione Todas as Tarefas e selecione Solicitar Novo Certificado
3. Siga os prompts e, quando oferecido uma lista de modelos, selecione a caixa de marcar do Logon de Cartão Virtual do TPM (ou o que você nomeou o modelo na Etapa 1)
4. Se solicitado para um dispositivo, selecione o cartão inteligente virtual da Microsoft que corresponde ao que você criou na seção anterior. Ele é exibido como Dispositivo de Identidade (Perfil da Microsoft)
5. Insira o PIN que foi estabelecido quando você criou o cartão inteligente virtual do TPM e selecione OK
6. Aguarde o término do registro e selecione Concluir

O cartão inteligente virtual agora pode ser usado como uma credencial alternativa para entrar em seu domínio. Para verificar se a configuração do cartão virtual e o registro de certificado foram bem-sucedidos, saia da sessão atual e entre. Ao entrar, você verá o ícone do novo cartão inteligente virtual do TPM na tela Área de Trabalho Segura (entrada) ou será direcionado automaticamente para a caixa de diálogo TPM smart cartão logon. Selecione o ícone, insira seu PIN (se necessário) e selecione OK. Você deve entrar na sua conta de domínio.

Consulte também

• Compreendendo e avaliando cartões inteligentes virtuais
• Usar cartões inteligentes virtuais
• Implantar cartões inteligentes virtuais