Как использовать смарт-карту доступа к Windows для шифрования файлов

Чтобы быть уверенными, что вы постоянно будете иметь доступ к зашифрованным данным, создайте сертификат восстановления и храните его на съемном носителе, например на диске или USB флэш-памяти.

Использование смарт-карты для шифрования

1. Подключите к компьютеру устройство чтения смарт-карт, а затем вставьте в него смарт-карту.
2. Откройте учетные записи.
3. В левой области выберите Сертификаты шифрования файлов. Откроется мастер, с помощью которого можно изменить сертификат, связанный с ключом шифрования.
4. В мастере файловой системы с шифрованием нажмите кнопку Далее .

Если смарт-карта содержит сертификат для шифрования файлов:

1. Выберите Использовать сертификат пункт Выбрать сертификат.
2. В диалоговом окне Выберите сертификаты, которые нужно использовать, щелкните расположенный на смарт-карте сертификат и нажмите кнопку ОК .
3. Введите PIN-код смарт-карты и нажмите кнопку ОК .
4. Убедитесь, что сертификат смарт-карты отображается в окне Сведения о сертификате и нажмите кнопку Далее .
5. Зашифрованные папки и файлы можно обновить в любое время с помощью сертификата смарт-карты. Для этого щелкните папки, которые следует обновить, или поставьте флажок Обновить шифрованные файлы позже и нажмите кнопку Далее .
6. При необходимости введите PIN-код и нажмите кнопку ОК .
7. При изменении смарт-карты, которая используется для шифрования файлов, вставьте новую смарт-карту, введите PIN-код и вставьте старую смарт-карта введите PIN-код. Следуйте инструкциям в диалоговом окне.

Если смарт-карта не содержит сертификат для шифрования файлов:

1. Выберите Создать новый сертификат и нажмите кнопку Далее .
2. Тип сертификата, который нужно создать, и нажмите кнопку Далее .
3. Введите PIN-код смарт-карты и нажмите кнопку ОК , а затем Далее .
4. Зашифрованные папки и файлы можно обновить в любое время с помощью сертификата смарт-карты. Для этого щелкните папки, которые следует обновить, или установите флажок Обновить шифрованные файлы позже и нажмите кнопку Далее .
5. При необходимости введите PIN-код и нажмите кнопку OK .
6. Если смарт-карту, которая используется для шифрования файлов, изменен, вставьте новую, введите PIN-код и вставьте старую смарт-карта введите PIN-код. Следуйте инструкциям в диалоговом окне.

Примечание: Если выбрано обновление фалов, зашифрованных с помощью предварительной смарт-карты, в процессе обновления потребуются старая карта и PIN-код. Если старой карточки нет, можно пропустить эти файлы и продолжить обновление других файлов.

Почему ПИН-код лучше пароля Why a PIN is better than a password

Область применения Applies to

Windows Hello в Windows 10 позволяет пользователям войти на свое устройство с помощью ПИН-кода. Windows Hello in Windows10 enables users to sign in to their device using a PIN. В чем заключаются отличия ПИН-кода от пароля и его преимущества? How is a PIN different from (and better than) a password? На первый взгляд, ПИН-код во многом аналогичен паролю. On the surface, a PIN looks much like a password. ПИН-код может представлять собой набор цифр, однако политикой предприятия может быть разрешено использование сложных ПИН-кодов, содержащих специальные знаки и буквы как в верхнем, так и в нижнем регистре. A PIN can be a set of numbers, but enterprise policy might allow complex PINs that include special characters and letters, both upper-case and lower-case. Например, значение t758A! Something like t758A! может использоваться в качестве пароля учетной записи или сложного ПИН-кода в Hello. could be an account password or a complex Hello PIN. Преимущества ПИН-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы. It isn’t the structure of a PIN (length, complexity) that makes it better than a password, it’s how it works.

Посмотрите, как Дана Гуанг объясняет, почему ПИН-код Windows Hello для бизнеса более безопасный, чем пароль. Watch Dana Huang explain why a Windows Hello for Business PIN is more secure than a password.

ПИН-код привязан к устройству PIN is tied to the device

Важным различием между паролем и ПИН-кодом Hello является привязка ПИН-кода к конкретному устройству, на котором он был задан. One important difference between a password and a Hello PIN is that the PIN is tied to the specific device on which it was set up. ПИН-код не может использоваться без конкретного оборудования. That PIN is useless to anyone without that specific hardware. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи ПИН-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству. Someone who steals your password can sign in to your account from anywhere, but if they steal your PIN, they’d have to steal your physical device too!

Даже сам пользователь сможет выполнить вход с помощью ПИН-кода только на конкретном устройстве. Even you can’t use that PIN anywhere except on that specific device. Чтобы выполнять вход на нескольких устройствах, потребуется настроить Hello на каждом из них. If you want to sign in on multiple devices, you have to set up Hello on each device.

ПИН-код хранится на устройстве локально PIN is local to the device

Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. A password is transmitted to the server — it can be intercepted in transmission or stolen from a server. ПИН-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. A PIN is local to the device — it isn’t transmitted anywhere and it isn’t stored on the server. При создании ПИН-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. When the PIN is created, it establishes a trusted relationship with the identity provider and creates an asymmetric key pair that is used for authentication. При вводе ПИН-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности. When you enter your PIN, it unlocks the authentication key and uses the key to sign the request that is sent to the authenticating server.

Подробную информацию об использовании пар ассиметричных ключей для проверки подлинности в Hello см. в разделе Windows Hello для бизнеса. For details on how Hello uses asymetric key pairs for authentication, see Windows Hello for Business.

ПИН-код поддерживается оборудованием PIN is backed by hardware

ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. The Hello PIN is backed by a Trusted Platform Module (TPM) chip, which is a secure crypto-processor that is designed to carry out cryptographic operations. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. The chip includes multiple physical security mechanisms to make it tamper resistant, and malicious software is unable to tamper with the security functions of the TPM. Все телефоны Windows 10 Mobile и множество современных ноутбуков имеют TPM. All Windows10 Mobile phones and many modern laptops have TPM.

Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. User key material is generated and available within the Trusted Platform Module (TPM) of the user device, which protects it from attackers who want to capture the key material and reuse it. Так как Hello использует пары асимметричных ключей, учетные данные пользователей не могут быть украдены в случаях, когда поставщик удостоверений или веб-сайты, к которые пользователь получает доступ, были скомпрометированы. Because Hello uses asymmetric key pairs, users credentials can’t be stolen in cases where the identity provider or websites the user accesses have been compromised.

TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора ПИН-кода. The TPM protects against a variety of known and potential attacks, including PIN brute-force attacks. После определенного количества попыток ввода неправильного ПИН-кода устройство блокируется. After too many incorrect guesses, the device is locked.

ПИН-код может быть сложным PIN can be complex

К ПИН-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и журнал изменений. The Windows Hello for Business PIN is subject to the same set of IT management policies as a password, such as complexity, length, expiration, and history. Несмотря на уверенность большинства пользователей в том, что ПИН-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики , предполагающие уровень сложности ПИН-кода, сопоставимый с паролем. Although we generally think of a PIN as a simple four-digit code, administrators can set policies for managed devices to require a PIN complexity similar to a password. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры. You can require or block: special characters, uppercase characters, lowercase characters, and digits.

Что произойдет в случае кражи ноутбука или телефона? What if someone steals the laptop or phone?

Чтобы скомпрометировать учетные данные Windows Hello, защищенные TPM, злоумышленник должен иметь доступ к физическому устройству, а затем найти способ подмены биометрических данных пользователя или угадать свой ПИН-код. Все это необходимо сделать, прежде чем защита от взлома TPM заблокировит устройство. To compromise a Windows Hello credential that TPM protects, an attacker must have access to the physical device, and then must find a way to spoof the user’s biometrics or guess his or her PIN—and all of this must be done before TPM anti-hammering protection locks the device. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему. You can provide additional protection for laptops that don’t have TPM by enabling BitLocker and setting a policy to limit failed sign-ins.

Настройка BitLocker без TPM Configure BitLocker without TPM

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы > Обязательная дополнительная проверка подлинности при запуске Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Require additional authentication at startup

В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК. In the policy option, select Allow BitLocker without a compatible TPM, and then click OK.

Перейдите в меню Панель управления > Система и безопасность > Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить. Go to Control Panel > System and Security > BitLocker Drive Encryption and select the operating system drive to protect. Установка порога блокировки учетной записи Set account lockout threshold

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики учетных записей > Политика блокировки учетных записей > Порог блокировки учетной записи Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy > Account lockout threshold

Установите допустимое количество неудачных попыток входа в систему и нажмите кнопку «ОК». Set the number of invalid logon attempts to allow, and then click OK.

Почему для использования биометрии нужен ПИН-код? Why do you need a PIN to use biometrics?

Windows Hello включает биометрический вход в Windows 10: отпечаток пальца, радужной оболочки радужной оболочки или распознавание лиц. Windows Hello enables biometric sign-in for Windows10: fingerprint, iris, or facial recognition. При первоначальной настройке Windows Hello предлагается создать ПИН-код. When you set up Windows Hello, you’re asked to create a PIN first. Этот PIN-код позволяет войти в систему с помощью ПИН-кода, если вы не можете использовать предпочтительный биометрический метод из-за повреждения или из-за недоступности или неправильной работы датчика. This PIN enables you to sign in using the PIN when you can’t use your preferred biometric because of an injury or because the sensor is unavailable or not working properly.

Если вы настроите только биометрические данные для входа в систему и не сможете по какой-либо причине выполнить вход с их использованием, вы должны будете ввести имя и пароль от учетной записи, что менее безопасно, чем вход с помощью Hello. If you only had a biometric sign-in configured and, for any reason, were unable to use that method to sign in, you would have to sign in using your account and password, which doesn’t provide you the same level of protection as Hello.

Обзор виртуальной смарт-карты Virtual Smart Card Overview

Применяется к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

В этом разделе для ИТ-специалистов представлен обзор технологии виртуальных смарт-карт, разработанной Корпорацией Майкрософт, и ссылки на дополнительные темы, которые помогут вам оценить, спланировать, разработать и администрировать виртуальные смарт-карты. This topic for IT professional provides an overview of the virtual smart card technology that was developed by Microsoft and includes links to additional topics to help you evaluate, plan, provision, and administer virtual smart cards.

Вы имеете в виду. Did you mean…

Windows Hello для бизнеса — это современная двух факторовая проверка подлинности для Windows 10. Windows Hello for Business is the modern, two-factor authentication for Windows 10. Microsoft будет отмещая виртуальные смарт-карты в будущем, но на данный момент дата не назначена. Microsoft will be deprecating virtual smart cards in the future, but no date has been set at this time. Клиенты, использующие Windows 10 и виртуальные смарт-карты, должны перейти на Windows Hello для бизнеса. Customers using Windows 10 and virtual smart cards should move to Windows Hello for Business. Корпорация Майкрософт опубликует дату раньше, чтобы убедиться, что у клиентов есть достаточно времени для работы с Windows Hello для бизнеса. Microsoft will publish the date early to ensure customers have adequate lead time to move to Windows Hello for Business. Рекомендуется использовать windows Hello для бизнеса в новых развертываниях Windows 10. We recommend that new Windows 10 deployments use Windows Hello for Business. Виртуальные смарт-карты остаются поддерживаемы для Windows 7 и Windows 8. Virtual smart cards remain supported for Windows 7 and Windows 8.

Описание компонента Feature description

Технология виртуальных смарт-карт майкрософт обеспечивает сопоставимые преимущества безопасности с физическими смарт-картами с помощью двух факторов проверки подлинности. Virtual smart card technology from Microsoft offers comparable security benefits to physical smart cards by using two-factor authentication. Виртуальные смарт-карты эмулируют функции физических смарт-карт, но они используют чип Trusted Platform Module (TPM), доступный на компьютерах во многих организациях, а не требует использования отдельной физической смарт-карты и средства чтения. Virtual smart cards emulate the functionality of physical smart cards, but they use the Trusted Platform Module (TPM) chip that is available on computers in many organizations, rather than requiring the use of a separate physical smart card and reader. Виртуальные смарт-карты создаются в TPM, где ключи, используемые для проверки подлинности, хранятся в оборудовании с криптографической безопасностью. Virtual smart cards are created in the TPM, where the keys that are used for authentication are stored in cryptographically secured hardware.

С помощью устройств TPM, которые предоставляют те же криптографические возможности, что и физические смарт-карты, виртуальные смарт-карты выполняют три ключевых свойства, которые нужны для смарт-карт: неэкспортируемость, изолированная криптография и антикорминг. By utilizing TPM devices that provide the same cryptographic capabilities as physical smart cards, virtual smart cards accomplish the three key properties that are desired for smart cards: non-exportability, isolated cryptography, and anti-hammering.

Практическое применение Practical applications

Виртуальные смарт-карты функционально похожи на физические смарт-карты и отображаются в Windows как смарт-карты, которые всегда вставлены. Virtual smart cards are functionally similar to physical smart cards and appear in Windows as smart cards that are always-inserted. Виртуальные смарт-карты можно использовать для проверки подлинности внешних ресурсов, защиты данных с помощью безопасного шифрования и целостности с помощью надежной подписи. Virtual smart cards can be used for authentication to external resources, protection of data by secure encryption, and integrity through reliable signing. Они легко развертываются с помощью методов или приобретенного решения, и они могут стать полной заменой для других методов сильной проверки подлинности в корпоративном параметре любого масштаба. They are easily deployed by using in-house methods or a purchased solution, and they can become a full replacement for other methods of strong authentication in a corporate setting of any scale.

Случаи использования проверки подлинности Authentication use cases

Двухфакторная проверка подлинности\u2012based удаленный доступ Two-factor authentication‒based remote access

После того как у пользователя есть полнофункциональная виртуальная смарт-карта TPM с сертификатом регистрации, сертификат используется для получения строгого доступа к корпоративным ресурсам с проверкой подлинности. After a user has a fully functional TPM virtual smart card, provisioned with a sign-in certificate, the certificate is used to gain strongly authenticated access to corporate resources. При подготовке соответствующего сертификата к виртуальной карте пользователю необходимо предоставить ПИН-код виртуальной смарт-карты, как если бы это была физическая смарт-карта, чтобы войти в домен. When the proper certificate is provisioned to the virtual card, the user need only provide the PIN for the virtual smart card, as if it was a physical smart card, to sign in to the domain.

На практике это так же просто, как ввести пароль для доступа к системе. In practice, this is as easy as entering a password to access the system. Технически это гораздо более безопасно. Technically, it is far more secure. Использование виртуальной смарт-карты для доступа к системе доказывает домену, что пользователь, запрашивающий проверку подлинности, владеет персональным компьютером, на котором была предусмотрена карта, и знает ПИН-код виртуальной смарт-карты. Using the virtual smart card to access the system proves to the domain that the user who is requesting authentication has possession of the personal computer upon which the card has been provisioned and knows the virtual smart card PIN. Поскольку этот запрос не мог исходить из системы, не заверенной доменом для доступа этого пользователя, и пользователь не мог инициировал запрос, не зная ПИН-кода, устанавливается сильная двух факторовая проверка подлинности. Because this request could not have possibly originated from a system other than the system certified by the domain for this user’s access, and the user could not have initiated the request without knowing the PIN, a strong two-factor authentication is established.

Проверка подлинности клиента Client authentication

Виртуальные смарт-карты также можно использовать для проверки подлинности клиента с помощью безопасного слоя socket (SSL) или аналогичной технологии. Virtual smart cards can also be used for client authentication by using Secure Socket Layer (SSL) or a similar technology. Как и доступ к домену с виртуальной смарт-картой, сертификат проверки подлинности можно получить для виртуальной смарт-карты, предоставляемой удаленной службе, как это запрашивается в процессе проверки подлинности клиента. Similar to domain access with a virtual smart card, an authentication certificate can be provisioned for the virtual smart card, provided to a remote service, as requested in the client authentication process. Это соответствует принципам двух факторов проверки подлинности, так как сертификат доступен только с компьютера, на котором размещена виртуальная смарт-карта, и пользователю необходимо ввести ПИН-код для начального доступа к карте. This adheres to the principles of two-factor authentication because the certificate is only accessible from the computer that hosts the virtual smart card, and the user is required to enter the PIN for initial access to the card.

Перенаправление виртуальных смарт-карт для удаленных подключений к настольным компьютерам Virtual smart card redirection for remote desktop connections

Концепция двух факторов проверки подлинности, связанной с виртуальными смарт-картами, зависит от близости пользователей к компьютерам, на которые они могут получать доступ к ресурсам домена. The concept of two-factor authentication associated with virtual smart cards relies on the proximity of users to the computers that they access domain resources through. Поэтому, когда пользователь удаленно подключается к компьютеру, на который размещены виртуальные смарт-карты, виртуальные смарт-карты, расположенные на удаленном компьютере, нельзя использовать во время удаленного сеанса. Therefore, when a user remotely connects to a computer that is hosting virtual smart cards, the virtual smart cards that are located on the remote computer cannot be used during the remote session. Однако виртуальные смарт-карты, хранимые на подключаемом компьютере (который находится под физическим контролем пользователя) загружаются на удаленный компьютер, и их можно использовать так, как если бы они были установлены с помощью TPM удаленного компьютера. However, the virtual smart cards that are stored on the connecting computer (which is under physical control of the user) are loaded onto the remote computer, and they can be used as if they were installed by using the remote computer’s TPM. Это расширяет права пользователя на удаленный компьютер, сохраняя при этом принципы двух факторов проверки подлинности. This extends a user’s privileges to the remote computer, while maintaining the principles of two-factor authentication.

Windows To Go и виртуальные смарт-карты Windows To Go and virtual smart cards

Виртуальные смарт-карты хорошо работают с Windows To Go, где пользователь может загрузиться в поддерживаемую версию Windows с совместимого съемного устройства хранения. Virtual smart cards work well with Windows To Go, where a user can boot into a supported version of Windows from a compatible removable storage device. Для пользователя может быть создана виртуальная смарт-карта, которая привязана к TPM на физическом компьютере, к которому подключено съемное устройство хранения. A virtual smart card can be created for the user, and it is tied to the TPM on the physical host computer to which the removable storage device is connected. Когда пользователь загружает операционную систему с другого физического компьютера, виртуальная смарт-карта будет недоступна. When the user boots the operating system from a different physical computer, the virtual smart card will not be available. Это можно использовать для сценариев, когда один физический компьютер является общим для многих пользователей. This can be used for scenarios when a single physical computer is shared by many users. Каждому пользователю может быть предоставлено съемное хранилище для Windows To Go с виртуальной смарт-картой, предусмотренной для пользователя. Each user can be given a removable storage device for Windows To Go, which has a virtual smart card provisioned for the user. Таким образом, пользователи могут получить доступ только к личной виртуальной смарт-карте. This way, users are only able to access their personal virtual smart card.

Случаи использования конфиденциальности Confidentiality use cases

Шифрование электронной почты S/MIME S/MIME email encryption

Физические смарт-карты предназначены для удержания закрытых ключей, которые можно использовать для шифрования и расшифровки электронной почты. Physical smart cards are designed to hold private keys that can be used for email encryption and decryption. Эта функция также существует в виртуальных смарт-картах. This functionality also exists in virtual smart cards. Используя S/MIME с общедоступным ключом пользователя для шифрования электронной почты, отправитель электронной почты может быть уверен, что расшифровать электронную почту сможет только человек с соответствующим закрытым ключом. By using S/MIME with a user’s public key to encrypt email, the sender of an email can be assured that only the person with the corresponding private key will be able to decrypt the email. Эта гарантия является результатом неэкспортируемости закрытого ключа. This assurance is a result of the non-exportability of the private key. Он никогда не существует в пределах досягаемости вредоносного программного обеспечения, и он остается защищенным TPM даже во время расшифровки. It never exists within reach of malicious software, and it remains protected by the TPM—even during decryption.

BitLocker для объемов данных BitLocker for data volumes

Технология шифрования дисков sBitLocker использует шифрование с симметричным ключом для защиты контента жесткого диска пользователя. sBitLocker Drive Encryption technology makes use of symmetric-key encryption to protect the content of a user’s hard drive. Это гарантирует, что если физическое владение жесткого диска будет нарушено, злоумышленник не сможет считыть данные с диска. This ensures that if the physical ownership of a hard drive is compromised, an adversary will not be able to read data off the drive. Ключ, используемый для шифрования диска, может храниться в виртуальной смарт-карте, что требует знания ПИН-кода виртуальной смарт-карты для доступа к диску и владению компьютером, на котором размещена виртуальная смарт-карта TPM. The key used to encrypt the drive can be stored in a virtual smart card, which necessitates knowledge of the virtual smart card PIN to access the drive and possession of the computer that is hosting the TPM virtual smart card. Если диск получается без доступа к TPM, на котором размещена виртуальная смарт-карта, любая грубая силовая атака будет очень сложной. If the drive is obtained without access to the TPM that hosts the virtual smart card, any brute force attack will be very difficult.

BitLocker также можно использовать для шифрования портативных дисков, что включает хранение ключей в виртуальных смарт-картах. BitLocker can also be used to encrypt portable drives, which involves storing keys in virtual smart cards. В этом сценарии (в отличие от использования BitLocker с физической смарт-картой) зашифрованный диск можно использовать только в том случае, если он подключен к хосту для виртуальной смарт-карты, используемой для шифрования диска, так как ключ BitLocker доступен только с этого компьютера. In this scenario (unlike using BitLocker with a physical smart card), the encrypted drive can be used only when it is connected to the host for the virtual smart card that is used to encrypt the drive, because the BitLocker key is only accessible from this computer. Однако этот метод может быть полезен для обеспечения безопасности резервных дисков и использования личных накопителей за пределами основного жесткого диска. However, this method can be useful to ensure the security of backup drives and personal storage uses outside the main hard drive.

Пример использования целостности данных Data integrity use case

Подписание данных Signing data

Чтобы проверить авторство данных, пользователь может подписать их с помощью закрытого ключа, хранимого на виртуальной смарт-карте. To verify authorship of data, a user can sign it by using a private key that is stored in the virtual smart card. Цифровые подписи подтверждают целостность и происхождение данных. Digital signatures confirm the integrity and origin of the data. Если ключ хранится в доступной операционной системе, злоумышленник может получить к нему доступ и использовать его для изменения уже подписанных данных или для подмены удостоверения владельца ключа. If the key is stored in an operating system that is accessible, a malicious user could access it and use it to modify already signed data or to spoof the key owner’s identity. Однако если этот ключ хранится в виртуальной смарт-карте, его можно использовать только для подписи данных на хост-компьютере. However, if this key is stored in a virtual smart card, it can be used only to sign data on the host computer. Его нельзя экспортировать в другие системы (намеренно или непреднамеренно, например при краже вредоносных программ). It cannot be exported to other systems (intentionally or unintentionally, such as with malware theft). Это делает цифровые подписи гораздо более безопасными, чем другие методы для хранения ключей. This makes digital signatures far more secure than other methods for private key storage.

Новые и измененные функциональные возможности с Windows 8.1 New and changed functionality as of Windows 8.1

Улучшения в Windows 8.1 позволили разработчикам создавать приложения Microsoft Store для создания и управления виртуальными смарт-картами. Enhancements in Windows 8.1 enabled developers to build Microsoft Store apps to create and manage virtual smart cards.

Протокол управления устройствами виртуальной смарт-карты DCOM Interfaces for Trusted Platform Module (TPM) предоставляет интерфейс удаленного протокола модели распределенных компонентов (DCOM), используемый для создания и уничтожения виртуальных смарт-карт. The DCOM Interfaces for Trusted Platform Module (TPM) Virtual Smart Card device management protocol provides a Distributed Component Object Model (DCOM) Remote Protocol interface used for creating and destroying virtual smart cards. Виртуальная смарт-карта — это устройство, которое представляет интерфейс устройства, соответствующий спецификации PC/SC для устройств интерфейса, подключенных к ПК, на платформу хост-операционной системы (ОС). A virtual smart card is a device that presents a device interface complying with the PC/SC specification for PC-connected interface devices to its host operating system (OS) platform. Этот протокол не предполагает ничего о реализации виртуальных устройств смарт-карт. This protocol does not assume anything about the underlying implementation of virtual smart card devices. В частности, хотя она предназначена в основном для управления виртуальными смарт-картами на основе TPMs, она также может использоваться для управления другими типами виртуальных смарт-карт. In particular, while it is primarily intended for the management of virtual smart cards based on TPMs, it can also be used to manage other types of virtual smart cards.

Какой эффект дает это изменение? What value does this change add?

Начиная с Windows 8.1, разработчики приложений могут создавать в своих приложениях следующие возможности по обслуживанию виртуальных смарт-карт, чтобы снять некоторые административные нагрузки. Starting with Windows 8.1, application developers can build into their apps the following virtual smart card maintenance capabilities to relieve some of your administrative burdens.

Создайте новую виртуальную смарт-карту или выберите виртуальную смарт-карту из списка доступных виртуальных смарт-карт в системе. Create a new virtual smart card or select a virtual smart card from the list of available virtual smart cards on the system. Определите, с чем приложение должно работать. Identify the one that the application is supposed to work with.

Персонализация виртуальной смарт-карты. Personalize the virtual smart card.

Измените клавишу администрирования. Change the admin key.

Разнообразить ключ администратора, который позволяет пользователю разблокировать ПИН-код в сценарии, заблокированном ПИН-кодом. Diversify the admin key which allows the user to unblock the PIN in a PIN-blocked scenario.

Измените ПИН-код. Change the PIN.

Сброс или разблокирование ПИН-кода. Reset or Unblock the PIN.

Уничтожите виртуальную смарт-карту. Destroy the virtual smart card.

Что работает иначе? What works differently?

Начиная с Windows 8.1, разработчики приложений Microsoft Store могут создавать приложения, которые могут побудить пользователя сбросить или разблокировать и изменить ПИН-код виртуальной смарт-карты. Starting with Windows 8.1, Microsoft Store app developers are able to build apps that have the capability to prompt the user to reset or unblock and change a virtual smart card PIN. Это возложит на пользователя больше ответственности за обслуживание виртуальной смарт-карты, но это также может обеспечить более последовательное обслуживание пользователей и администрирование в вашей организации. This places more responsibility on the user to maintain their virtual smart card but it can also provide a more consistent user experience and administration experience in your organization.

Дополнительные сведения о разработке приложений Microsoft Store с этими возможностями см. в записи Протокола управления виртуальными смарт-картами модулядоверенных платформ. For more information about developing Microsoft Store apps with these capabilities, see Trusted Platform Module Virtual Smart Card Management Protocol.

Дополнительные сведения об управлении этими возможностями в виртуальных смарт-картах см. в дополнительных сведениях о понимании и оценке виртуальных смарт-карт. For more information about managing these capabilities in virtual smart cards, see Understanding and Evaluating Virtual Smart Cards.

Требования к оборудованию Hardware requirements

Чтобы использовать технологию виртуальных смарт-карт, TPM 1.2 — это минимум, необходимый для компьютеров с Windows 10 или Windows Server 2016. To use the virtual smart card technology, TPM 1.2 is the minimum required for computers running Windows 10 or Windows Server 2016.

Требования к программному обеспечению Software requirements

Чтобы использовать технологию виртуальных смарт-карт, компьютеры должны запускать одну из следующих операционных систем: To use the virtual smart card technology, computers must be running one of the following operating systems:

• Windows Server 2016 Windows Server 2016
• Windows Server2012R2 Windows Server 2012 R2
• Windows Server 2012 Windows Server 2012
• Windows 10; Windows 10
• Windows 8.1 Windows 8.1
• Windows 8 Windows 8