Вход в Windows по смарт-карте

Для чего это нужно?

Использование микропроцессорных смарт-карт для авторизации в операционной системе Windows, рабочих программах, корпоративном домене значительно повышает защищённость информации и данных, доступ к которым осуществляет пользователь — такой способ аутентификации, вместо входа в Windows по устаревшей схеме с использованием имени и пароля, позволяет применять более сложные, стойкие к перебору пароли и электронные цифровые сертификаты, сохранённые в защищённой ПИН-кодом памяти контактной смарт-карты.

Даже если смарт-карта попадёт в чужие руки, то воспользоваться ею для доступа к конфиденциальным данным всё равно не удастся без знания ПИН-кода, который вы можете самостоятельно менять в случае необходимости.

Как этим пользоваться?

В зависимости от используемого для входа в Windows по смарт-карте программного обеспечения, после загрузки операционной системы на экране монитора появится окно авторизации пользователя, где вместо привычного ввода имени и пароля будет предложено ввести ПИН-код подключённой к компьютеру смарт-карты.

При успешном вводе ПИН-кода будет осуществлён привычный вход в систему Windows. В свою очередь при неверно введённом ПИН-коде доступ в систему будет запрещён, а если количество введённых неверно ПИН превысит установленное при инициализации смарт-карты значение, то система безопасности заблокирует карту.

Что необходимо приобрести?

Для внедрения на своём компьютере функциональной возможности доступа пользователя в операционную систему Windows по смарт-карте вместо авторизации по имени и паролю требуется приобрести соответствующее программное обеспечение, необходимую модель смарт-карты и считыватель смарт-карт.

Некоторые рекомендации по выбору программного обеспечения и оборудования:

Программное обеспечение для аутентификации в Windows. При выборе программного обеспечения отталкивайтесь от своих потребностей в том или ином его функционале, который был бы вам полезен, перечня поддерживаемых операционных систем, моделей совместимых с ПО смарт-карт и считывателей.

Микропроцессорные смарт-карты для входа в Windows. Перечень поддерживаемых смарт-карт автоматически формируется на этапе выбора программного обеспечения. Остаётся лишь остановиться на конкретной модели карты с теми функциональными особенностями, которые необходимы именно вам.

Например, если вы предполагаете использовать трёхфакторную аутентификацию с применением отпечатков пальцев вместо ПИН-кода, то соответственно выбираете карты, поддерживающие данную особенность.

Другими критериями выбора карты являются ёмкость встроенной памяти и список поддерживаемых операционных систем. Установленная на вашем ПК операционная система, разумеется, должна входить в этот перечень. Что касается памяти карты, то чем её больше, тем больше информации, требуемой для аутентификации, вы сможете на неё записать.

Считыватели смарт-карт для авторизации в Windows. При выборе считывателя руководствуемся документацией на выбранное программное обеспечение.

Если жёстких рекомендаций нет, то отталкиваемся от своих потребностей: выбираем моно или комбинированное устройство (поддерживает один вид карт или несколько разновидностей), внешний вид и исполнение (настольный, складной или USB-токен). Не забываем о возможности работы устройства под управлением операционной системы, развернутой на вашем ПК.

Обзор виртуальной смарт-карты Virtual Smart Card Overview

Применяется к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

В этом разделе для ИТ-специалистов представлен обзор технологии виртуальных смарт-карт, разработанной Корпорацией Майкрософт, и ссылки на дополнительные темы, которые помогут вам оценить, спланировать, разработать и администрировать виртуальные смарт-карты. This topic for IT professional provides an overview of the virtual smart card technology that was developed by Microsoft and includes links to additional topics to help you evaluate, plan, provision, and administer virtual smart cards.

Вы имеете в виду. Did you mean…

Windows Hello для бизнеса — это современная двух факторовая проверка подлинности для Windows 10. Windows Hello for Business is the modern, two-factor authentication for Windows 10. Microsoft будет отмещая виртуальные смарт-карты в будущем, но на данный момент дата не назначена. Microsoft will be deprecating virtual smart cards in the future, but no date has been set at this time. Клиенты, использующие Windows 10 и виртуальные смарт-карты, должны перейти на Windows Hello для бизнеса. Customers using Windows 10 and virtual smart cards should move to Windows Hello for Business. Корпорация Майкрософт опубликует дату раньше, чтобы убедиться, что у клиентов есть достаточно времени для работы с Windows Hello для бизнеса. Microsoft will publish the date early to ensure customers have adequate lead time to move to Windows Hello for Business. Рекомендуется использовать windows Hello для бизнеса в новых развертываниях Windows 10. We recommend that new Windows 10 deployments use Windows Hello for Business. Виртуальные смарт-карты остаются поддерживаемы для Windows 7 и Windows 8. Virtual smart cards remain supported for Windows 7 and Windows 8.

Описание компонента Feature description

Технология виртуальных смарт-карт майкрософт обеспечивает сопоставимые преимущества безопасности с физическими смарт-картами с помощью двух факторов проверки подлинности. Virtual smart card technology from Microsoft offers comparable security benefits to physical smart cards by using two-factor authentication. Виртуальные смарт-карты эмулируют функции физических смарт-карт, но они используют чип Trusted Platform Module (TPM), доступный на компьютерах во многих организациях, а не требует использования отдельной физической смарт-карты и средства чтения. Virtual smart cards emulate the functionality of physical smart cards, but they use the Trusted Platform Module (TPM) chip that is available on computers in many organizations, rather than requiring the use of a separate physical smart card and reader. Виртуальные смарт-карты создаются в TPM, где ключи, используемые для проверки подлинности, хранятся в оборудовании с криптографической безопасностью. Virtual smart cards are created in the TPM, where the keys that are used for authentication are stored in cryptographically secured hardware.

С помощью устройств TPM, которые предоставляют те же криптографические возможности, что и физические смарт-карты, виртуальные смарт-карты выполняют три ключевых свойства, которые нужны для смарт-карт: неэкспортируемость, изолированная криптография и антикорминг. By utilizing TPM devices that provide the same cryptographic capabilities as physical smart cards, virtual smart cards accomplish the three key properties that are desired for smart cards: non-exportability, isolated cryptography, and anti-hammering.

Практическое применение Practical applications

Виртуальные смарт-карты функционально похожи на физические смарт-карты и отображаются в Windows как смарт-карты, которые всегда вставлены. Virtual smart cards are functionally similar to physical smart cards and appear in Windows as smart cards that are always-inserted. Виртуальные смарт-карты можно использовать для проверки подлинности внешних ресурсов, защиты данных с помощью безопасного шифрования и целостности с помощью надежной подписи. Virtual smart cards can be used for authentication to external resources, protection of data by secure encryption, and integrity through reliable signing. Они легко развертываются с помощью методов или приобретенного решения, и они могут стать полной заменой для других методов сильной проверки подлинности в корпоративном параметре любого масштаба. They are easily deployed by using in-house methods or a purchased solution, and they can become a full replacement for other methods of strong authentication in a corporate setting of any scale.

Случаи использования проверки подлинности Authentication use cases

Двухфакторная проверка подлинности\u2012based удаленный доступ Two-factor authentication‒based remote access

После того как у пользователя есть полнофункциональная виртуальная смарт-карта TPM с сертификатом регистрации, сертификат используется для получения строгого доступа к корпоративным ресурсам с проверкой подлинности. After a user has a fully functional TPM virtual smart card, provisioned with a sign-in certificate, the certificate is used to gain strongly authenticated access to corporate resources. При подготовке соответствующего сертификата к виртуальной карте пользователю необходимо предоставить ПИН-код виртуальной смарт-карты, как если бы это была физическая смарт-карта, чтобы войти в домен. When the proper certificate is provisioned to the virtual card, the user need only provide the PIN for the virtual smart card, as if it was a physical smart card, to sign in to the domain.

На практике это так же просто, как ввести пароль для доступа к системе. In practice, this is as easy as entering a password to access the system. Технически это гораздо более безопасно. Technically, it is far more secure. Использование виртуальной смарт-карты для доступа к системе доказывает домену, что пользователь, запрашивающий проверку подлинности, владеет персональным компьютером, на котором была предусмотрена карта, и знает ПИН-код виртуальной смарт-карты. Using the virtual smart card to access the system proves to the domain that the user who is requesting authentication has possession of the personal computer upon which the card has been provisioned and knows the virtual smart card PIN. Поскольку этот запрос не мог исходить из системы, не заверенной доменом для доступа этого пользователя, и пользователь не мог инициировал запрос, не зная ПИН-кода, устанавливается сильная двух факторовая проверка подлинности. Because this request could not have possibly originated from a system other than the system certified by the domain for this user’s access, and the user could not have initiated the request without knowing the PIN, a strong two-factor authentication is established.

Проверка подлинности клиента Client authentication

Виртуальные смарт-карты также можно использовать для проверки подлинности клиента с помощью безопасного слоя socket (SSL) или аналогичной технологии. Virtual smart cards can also be used for client authentication by using Secure Socket Layer (SSL) or a similar technology. Как и доступ к домену с виртуальной смарт-картой, сертификат проверки подлинности можно получить для виртуальной смарт-карты, предоставляемой удаленной службе, как это запрашивается в процессе проверки подлинности клиента. Similar to domain access with a virtual smart card, an authentication certificate can be provisioned for the virtual smart card, provided to a remote service, as requested in the client authentication process. Это соответствует принципам двух факторов проверки подлинности, так как сертификат доступен только с компьютера, на котором размещена виртуальная смарт-карта, и пользователю необходимо ввести ПИН-код для начального доступа к карте. This adheres to the principles of two-factor authentication because the certificate is only accessible from the computer that hosts the virtual smart card, and the user is required to enter the PIN for initial access to the card.

Перенаправление виртуальных смарт-карт для удаленных подключений к настольным компьютерам Virtual smart card redirection for remote desktop connections

Концепция двух факторов проверки подлинности, связанной с виртуальными смарт-картами, зависит от близости пользователей к компьютерам, на которые они могут получать доступ к ресурсам домена. The concept of two-factor authentication associated with virtual smart cards relies on the proximity of users to the computers that they access domain resources through. Поэтому, когда пользователь удаленно подключается к компьютеру, на который размещены виртуальные смарт-карты, виртуальные смарт-карты, расположенные на удаленном компьютере, нельзя использовать во время удаленного сеанса. Therefore, when a user remotely connects to a computer that is hosting virtual smart cards, the virtual smart cards that are located on the remote computer cannot be used during the remote session. Однако виртуальные смарт-карты, хранимые на подключаемом компьютере (который находится под физическим контролем пользователя) загружаются на удаленный компьютер, и их можно использовать так, как если бы они были установлены с помощью TPM удаленного компьютера. However, the virtual smart cards that are stored on the connecting computer (which is under physical control of the user) are loaded onto the remote computer, and they can be used as if they were installed by using the remote computer’s TPM. Это расширяет права пользователя на удаленный компьютер, сохраняя при этом принципы двух факторов проверки подлинности. This extends a user’s privileges to the remote computer, while maintaining the principles of two-factor authentication.

Windows To Go и виртуальные смарт-карты Windows To Go and virtual smart cards

Виртуальные смарт-карты хорошо работают с Windows To Go, где пользователь может загрузиться в поддерживаемую версию Windows с совместимого съемного устройства хранения. Virtual smart cards work well with Windows To Go, where a user can boot into a supported version of Windows from a compatible removable storage device. Для пользователя может быть создана виртуальная смарт-карта, которая привязана к TPM на физическом компьютере, к которому подключено съемное устройство хранения. A virtual smart card can be created for the user, and it is tied to the TPM on the physical host computer to which the removable storage device is connected. Когда пользователь загружает операционную систему с другого физического компьютера, виртуальная смарт-карта будет недоступна. When the user boots the operating system from a different physical computer, the virtual smart card will not be available. Это можно использовать для сценариев, когда один физический компьютер является общим для многих пользователей. This can be used for scenarios when a single physical computer is shared by many users. Каждому пользователю может быть предоставлено съемное хранилище для Windows To Go с виртуальной смарт-картой, предусмотренной для пользователя. Each user can be given a removable storage device for Windows To Go, which has a virtual smart card provisioned for the user. Таким образом, пользователи могут получить доступ только к личной виртуальной смарт-карте. This way, users are only able to access their personal virtual smart card.

Случаи использования конфиденциальности Confidentiality use cases

Шифрование электронной почты S/MIME S/MIME email encryption

Физические смарт-карты предназначены для удержания закрытых ключей, которые можно использовать для шифрования и расшифровки электронной почты. Physical smart cards are designed to hold private keys that can be used for email encryption and decryption. Эта функция также существует в виртуальных смарт-картах. This functionality also exists in virtual smart cards. Используя S/MIME с общедоступным ключом пользователя для шифрования электронной почты, отправитель электронной почты может быть уверен, что расшифровать электронную почту сможет только человек с соответствующим закрытым ключом. By using S/MIME with a user’s public key to encrypt email, the sender of an email can be assured that only the person with the corresponding private key will be able to decrypt the email. Эта гарантия является результатом неэкспортируемости закрытого ключа. This assurance is a result of the non-exportability of the private key. Он никогда не существует в пределах досягаемости вредоносного программного обеспечения, и он остается защищенным TPM даже во время расшифровки. It never exists within reach of malicious software, and it remains protected by the TPM—even during decryption.

BitLocker для объемов данных BitLocker for data volumes

Технология шифрования дисков sBitLocker использует шифрование с симметричным ключом для защиты контента жесткого диска пользователя. sBitLocker Drive Encryption technology makes use of symmetric-key encryption to protect the content of a user’s hard drive. Это гарантирует, что если физическое владение жесткого диска будет нарушено, злоумышленник не сможет считыть данные с диска. This ensures that if the physical ownership of a hard drive is compromised, an adversary will not be able to read data off the drive. Ключ, используемый для шифрования диска, может храниться в виртуальной смарт-карте, что требует знания ПИН-кода виртуальной смарт-карты для доступа к диску и владению компьютером, на котором размещена виртуальная смарт-карта TPM. The key used to encrypt the drive can be stored in a virtual smart card, which necessitates knowledge of the virtual smart card PIN to access the drive and possession of the computer that is hosting the TPM virtual smart card. Если диск получается без доступа к TPM, на котором размещена виртуальная смарт-карта, любая грубая силовая атака будет очень сложной. If the drive is obtained without access to the TPM that hosts the virtual smart card, any brute force attack will be very difficult.

BitLocker также можно использовать для шифрования портативных дисков, что включает хранение ключей в виртуальных смарт-картах. BitLocker can also be used to encrypt portable drives, which involves storing keys in virtual smart cards. В этом сценарии (в отличие от использования BitLocker с физической смарт-картой) зашифрованный диск можно использовать только в том случае, если он подключен к хосту для виртуальной смарт-карты, используемой для шифрования диска, так как ключ BitLocker доступен только с этого компьютера. In this scenario (unlike using BitLocker with a physical smart card), the encrypted drive can be used only when it is connected to the host for the virtual smart card that is used to encrypt the drive, because the BitLocker key is only accessible from this computer. Однако этот метод может быть полезен для обеспечения безопасности резервных дисков и использования личных накопителей за пределами основного жесткого диска. However, this method can be useful to ensure the security of backup drives and personal storage uses outside the main hard drive.

Пример использования целостности данных Data integrity use case

Подписание данных Signing data

Чтобы проверить авторство данных, пользователь может подписать их с помощью закрытого ключа, хранимого на виртуальной смарт-карте. To verify authorship of data, a user can sign it by using a private key that is stored in the virtual smart card. Цифровые подписи подтверждают целостность и происхождение данных. Digital signatures confirm the integrity and origin of the data. Если ключ хранится в доступной операционной системе, злоумышленник может получить к нему доступ и использовать его для изменения уже подписанных данных или для подмены удостоверения владельца ключа. If the key is stored in an operating system that is accessible, a malicious user could access it and use it to modify already signed data or to spoof the key owner’s identity. Однако если этот ключ хранится в виртуальной смарт-карте, его можно использовать только для подписи данных на хост-компьютере. However, if this key is stored in a virtual smart card, it can be used only to sign data on the host computer. Его нельзя экспортировать в другие системы (намеренно или непреднамеренно, например при краже вредоносных программ). It cannot be exported to other systems (intentionally or unintentionally, such as with malware theft). Это делает цифровые подписи гораздо более безопасными, чем другие методы для хранения ключей. This makes digital signatures far more secure than other methods for private key storage.

Новые и измененные функциональные возможности с Windows 8.1 New and changed functionality as of Windows 8.1

Улучшения в Windows 8.1 позволили разработчикам создавать приложения Microsoft Store для создания и управления виртуальными смарт-картами. Enhancements in Windows 8.1 enabled developers to build Microsoft Store apps to create and manage virtual smart cards.

Протокол управления устройствами виртуальной смарт-карты DCOM Interfaces for Trusted Platform Module (TPM) предоставляет интерфейс удаленного протокола модели распределенных компонентов (DCOM), используемый для создания и уничтожения виртуальных смарт-карт. The DCOM Interfaces for Trusted Platform Module (TPM) Virtual Smart Card device management protocol provides a Distributed Component Object Model (DCOM) Remote Protocol interface used for creating and destroying virtual smart cards. Виртуальная смарт-карта — это устройство, которое представляет интерфейс устройства, соответствующий спецификации PC/SC для устройств интерфейса, подключенных к ПК, на платформу хост-операционной системы (ОС). A virtual smart card is a device that presents a device interface complying with the PC/SC specification for PC-connected interface devices to its host operating system (OS) platform. Этот протокол не предполагает ничего о реализации виртуальных устройств смарт-карт. This protocol does not assume anything about the underlying implementation of virtual smart card devices. В частности, хотя она предназначена в основном для управления виртуальными смарт-картами на основе TPMs, она также может использоваться для управления другими типами виртуальных смарт-карт. In particular, while it is primarily intended for the management of virtual smart cards based on TPMs, it can also be used to manage other types of virtual smart cards.

Какой эффект дает это изменение? What value does this change add?

Начиная с Windows 8.1, разработчики приложений могут создавать в своих приложениях следующие возможности по обслуживанию виртуальных смарт-карт, чтобы снять некоторые административные нагрузки. Starting with Windows 8.1, application developers can build into their apps the following virtual smart card maintenance capabilities to relieve some of your administrative burdens.

Создайте новую виртуальную смарт-карту или выберите виртуальную смарт-карту из списка доступных виртуальных смарт-карт в системе. Create a new virtual smart card or select a virtual smart card from the list of available virtual smart cards on the system. Определите, с чем приложение должно работать. Identify the one that the application is supposed to work with.

Персонализация виртуальной смарт-карты. Personalize the virtual smart card.

Измените клавишу администрирования. Change the admin key.

Разнообразить ключ администратора, который позволяет пользователю разблокировать ПИН-код в сценарии, заблокированном ПИН-кодом. Diversify the admin key which allows the user to unblock the PIN in a PIN-blocked scenario.

Измените ПИН-код. Change the PIN.

Сброс или разблокирование ПИН-кода. Reset or Unblock the PIN.

Уничтожите виртуальную смарт-карту. Destroy the virtual smart card.

Что работает иначе? What works differently?

Начиная с Windows 8.1, разработчики приложений Microsoft Store могут создавать приложения, которые могут побудить пользователя сбросить или разблокировать и изменить ПИН-код виртуальной смарт-карты. Starting with Windows 8.1, Microsoft Store app developers are able to build apps that have the capability to prompt the user to reset or unblock and change a virtual smart card PIN. Это возложит на пользователя больше ответственности за обслуживание виртуальной смарт-карты, но это также может обеспечить более последовательное обслуживание пользователей и администрирование в вашей организации. This places more responsibility on the user to maintain their virtual smart card but it can also provide a more consistent user experience and administration experience in your organization.

Дополнительные сведения о разработке приложений Microsoft Store с этими возможностями см. в записи Протокола управления виртуальными смарт-картами модулядоверенных платформ. For more information about developing Microsoft Store apps with these capabilities, see Trusted Platform Module Virtual Smart Card Management Protocol.

Дополнительные сведения об управлении этими возможностями в виртуальных смарт-картах см. в дополнительных сведениях о понимании и оценке виртуальных смарт-карт. For more information about managing these capabilities in virtual smart cards, see Understanding and Evaluating Virtual Smart Cards.

Требования к оборудованию Hardware requirements

Чтобы использовать технологию виртуальных смарт-карт, TPM 1.2 — это минимум, необходимый для компьютеров с Windows 10 или Windows Server 2016. To use the virtual smart card technology, TPM 1.2 is the minimum required for computers running Windows 10 or Windows Server 2016.

Требования к программному обеспечению Software requirements

Чтобы использовать технологию виртуальных смарт-карт, компьютеры должны запускать одну из следующих операционных систем: To use the virtual smart card technology, computers must be running one of the following operating systems:

• Windows Server 2016 Windows Server 2016
• Windows Server2012R2 Windows Server 2012 R2
• Windows Server 2012 Windows Server 2012
• Windows 10; Windows 10
• Windows 8.1 Windows 8.1
• Windows 8 Windows 8