Принцип работы входа по смарт-карте в Windows How Smart Card Sign-in Works in Windows

Применимо к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

Этот раздел для ИТ-специалистов содержит ссылки на ресурсы о внедрении технологий смарт-карт в операционной системе Windows. This topic for IT professional provides links to resources about the implementation of smart card technologies in the Windows operating system. Он включает следующие ресурсы об архитектуре, управлении сертификатами и службах, связанных с использованием смарт-карт: It includes the following resources about the architecture, certificate management, and services that are related to smart card use:

Архитектура смарт-карт:узнайте о включаемой связи со смарт-картами и средствами чтения смарт-карт, которые могут быть разными в зависимости от поставщика, который их поставляет. Smart Card Architecture: Learn about enabling communications with smart cards and smart card readers, which can be different according to the vendor that supplies them.

Требования к сертификатам и их нумерация.Узнайте о требованиях к сертификатам смарт-карт на основе операционной системы, а также об операциях, которые выполняются операционной системой при вставке смарт-карты в компьютер. Certificate Requirements and Enumeration: Learn about requirements for smart card certificates based on the operating system, and about the operations that are performed by the operating system when a smart card is inserted into the computer.

Smart Card and Remote Desktop Services: Learn about using smart cards for remote desktop connections. Smart Card and Remote Desktop Services: Learn about using smart cards for remote desktop connections.

Смарт-карты для службы Windows: узнайте о реализации службы смарт-карт для Windows. Smart Cards for Windows Service: Learn about how the Smart Cards for Windows service is implemented.

Служба распространения сертификатов: узнайте, как работает служба распространения сертификатов при вставке смарт-карты на компьютер. Certificate Propagation Service: Learn about how the certificate propagation service works when a smart card is inserted into a computer.

Служба политик удалениясмарт-карт: узнайте об использовании групповой политики для управления действиями, которые происходят при удалении смарт-карты пользователем. Smart Card Removal Policy Service: Learn about using Group Policy to control what happens when a user removes a smart card.

Технический справочник по смарт-карте Smart Card Technical Reference

Применимо к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

Технический справочник по смарт-картам описывает инфраструктуру смарт-карт Windows для физических смарт-карт и работу компонентов, связанных с смарт-картами, в Windows. The Smart Card Technical Reference describes the Windows smart card infrastructure for physical smart cards and how smart card-related components work in Windows. В этом документе также содержатся сведения о средствах, которые ИТ-разработчики и администраторы могут использовать для устранения неполадок, отладки и развертывания проверки подлинности на основе смарт-карт на предприятии. This document also contains information about tools that information technology (IT) developers and administrators can use to troubleshoot, debug, and deploy smart card-based strong authentication in the enterprise.

Аудитория Audience

В этом документе объясняется, как работает инфраструктура смарт-карт Windows. This document explains how the Windows smart card infrastructure works. Чтобы понять эту информацию, необходимо иметь базовые знания об инфраструктуре открытых ключей (PKI) и понятиях смарт-карт. To understand this information, you should have basic knowledge of public key infrastructure (PKI) and smart card concepts. Этот документ предназначен для: This document is intended for:

Корпоративные ИТ-разработчики, менеджеры и сотрудники, плановые развертывание или использование смарт-карт в организации. Enterprise IT developers, managers, and staff who are planning to deploy or are using smart cards in their organization.

Поставщики смарт-карт, которые записывают мини-диски смарт-карт или поставщики учетных данных. Smart card vendors who write smart card minidrivers or credential providers.

Что такое смарт-карты? What are smart cards?

Смарт-карты — это устойчивые к взлому переносимые устройства хранения, которые могут повысить безопасность таких задач, как проверка подлинности клиентов, подписание кода, защита электронной почты и вход с помощью учетной записи домена Windows. Smart cards are tamper-resistant portable storage devices that can enhance the security of tasks such as authenticating clients, signing code, securing e-mail, and signing in with a Windows domain account.

Смарт-карты предоставляют: Smart cards provide:

Защищенное от взлома хранилище для защиты закрытых ключей и других форм личной информации. Tamper-resistant storage for protecting private keys and other forms of personal information.

Изоляция критически важных для безопасности вычислений, которые включают проверку подлинности, цифровые подписи и обмен ключами с других частей компьютера. Isolation of security-critical computations that involve authentication, digital signatures, and key exchange from other parts of the computer. Эти вычисления выполняются на смарт-карте. These computations are performed on the smart card.

Переносимость учетных данных и другой частной информации между компьютерами на работе, дома или в пути. Portability of credentials and other private information between computers at work, home, or on the road.

Смарт-карты можно использовать только для входов в учетные записи домена, а не локальные учетные записи. Smart cards can be used to sign in to domain accounts only, not local accounts. При использовании пароля для интерактивного доступа к учетной записи домена Windows использует для проверки подлинности протокол Kerberos версии 5 (v5). When you use a password to sign in interactively to a domain account, Windows uses the Kerberos version 5 (v5) protocol for authentication. Если вы используете смарт-карту, операционная система использует проверку подлинности Kerberos v5 с сертификатами X.509 v3. If you use a smart card, the operating system uses Kerberos v5 authentication with X.509 v3 certificates.

Виртуальные смарт-карты были представлены в Windows Server 2012 и Windows 8, чтобы снизить потребность в физической смарт-карте, устройстве чтения смарт-карт и связанном администрировании этого оборудования. Virtual smart cards were introduced in Windows Server 2012 and Windows 8 to alleviate the need for a physical smart card, the smart card reader, and the associated administration of that hardware. Сведения о технологии виртуальных смарт-карт см. в обзоре виртуальных смарт-карт. For information about virtual smart card technology, see Virtual Smart Card Overview.

В этом техническом справочнике In this technical reference

Эта справка содержит следующие разделы. This reference contains the following topics.

Обзор виртуальной смарт-карты Virtual Smart Card Overview

Применяется к: Windows 10, Windows Server 2016 Applies To: Windows 10, Windows Server 2016

В этом разделе для ИТ-специалистов представлен обзор технологии виртуальных смарт-карт, разработанной Корпорацией Майкрософт, и ссылки на дополнительные темы, которые помогут вам оценить, спланировать, разработать и администрировать виртуальные смарт-карты. This topic for IT professional provides an overview of the virtual smart card technology that was developed by Microsoft and includes links to additional topics to help you evaluate, plan, provision, and administer virtual smart cards.

Вы имеете в виду. Did you mean…

Windows Hello для бизнеса — это современная двух факторовая проверка подлинности для Windows 10. Windows Hello for Business is the modern, two-factor authentication for Windows 10. Microsoft будет отмещая виртуальные смарт-карты в будущем, но на данный момент дата не назначена. Microsoft will be deprecating virtual smart cards in the future, but no date has been set at this time. Клиенты, использующие Windows 10 и виртуальные смарт-карты, должны перейти на Windows Hello для бизнеса. Customers using Windows 10 and virtual smart cards should move to Windows Hello for Business. Корпорация Майкрософт опубликует дату раньше, чтобы убедиться, что у клиентов есть достаточно времени для работы с Windows Hello для бизнеса. Microsoft will publish the date early to ensure customers have adequate lead time to move to Windows Hello for Business. Рекомендуется использовать windows Hello для бизнеса в новых развертываниях Windows 10. We recommend that new Windows 10 deployments use Windows Hello for Business. Виртуальные смарт-карты остаются поддерживаемы для Windows 7 и Windows 8. Virtual smart cards remain supported for Windows 7 and Windows 8.

Описание компонента Feature description

Технология виртуальных смарт-карт майкрософт обеспечивает сопоставимые преимущества безопасности с физическими смарт-картами с помощью двух факторов проверки подлинности. Virtual smart card technology from Microsoft offers comparable security benefits to physical smart cards by using two-factor authentication. Виртуальные смарт-карты эмулируют функции физических смарт-карт, но они используют чип Trusted Platform Module (TPM), доступный на компьютерах во многих организациях, а не требует использования отдельной физической смарт-карты и средства чтения. Virtual smart cards emulate the functionality of physical smart cards, but they use the Trusted Platform Module (TPM) chip that is available on computers in many organizations, rather than requiring the use of a separate physical smart card and reader. Виртуальные смарт-карты создаются в TPM, где ключи, используемые для проверки подлинности, хранятся в оборудовании с криптографической безопасностью. Virtual smart cards are created in the TPM, where the keys that are used for authentication are stored in cryptographically secured hardware.

С помощью устройств TPM, которые предоставляют те же криптографические возможности, что и физические смарт-карты, виртуальные смарт-карты выполняют три ключевых свойства, которые нужны для смарт-карт: неэкспортируемость, изолированная криптография и антикорминг. By utilizing TPM devices that provide the same cryptographic capabilities as physical smart cards, virtual smart cards accomplish the three key properties that are desired for smart cards: non-exportability, isolated cryptography, and anti-hammering.

Практическое применение Practical applications

Виртуальные смарт-карты функционально похожи на физические смарт-карты и отображаются в Windows как смарт-карты, которые всегда вставлены. Virtual smart cards are functionally similar to physical smart cards and appear in Windows as smart cards that are always-inserted. Виртуальные смарт-карты можно использовать для проверки подлинности внешних ресурсов, защиты данных с помощью безопасного шифрования и целостности с помощью надежной подписи. Virtual smart cards can be used for authentication to external resources, protection of data by secure encryption, and integrity through reliable signing. Они легко развертываются с помощью методов или приобретенного решения, и они могут стать полной заменой для других методов сильной проверки подлинности в корпоративном параметре любого масштаба. They are easily deployed by using in-house methods or a purchased solution, and they can become a full replacement for other methods of strong authentication in a corporate setting of any scale.

Случаи использования проверки подлинности Authentication use cases

Двухфакторная проверка подлинности\u2012based удаленный доступ Two-factor authentication‒based remote access

После того как у пользователя есть полнофункциональная виртуальная смарт-карта TPM с сертификатом регистрации, сертификат используется для получения строгого доступа к корпоративным ресурсам с проверкой подлинности. After a user has a fully functional TPM virtual smart card, provisioned with a sign-in certificate, the certificate is used to gain strongly authenticated access to corporate resources. При подготовке соответствующего сертификата к виртуальной карте пользователю необходимо предоставить ПИН-код виртуальной смарт-карты, как если бы это была физическая смарт-карта, чтобы войти в домен. When the proper certificate is provisioned to the virtual card, the user need only provide the PIN for the virtual smart card, as if it was a physical smart card, to sign in to the domain.

На практике это так же просто, как ввести пароль для доступа к системе. In practice, this is as easy as entering a password to access the system. Технически это гораздо более безопасно. Technically, it is far more secure. Использование виртуальной смарт-карты для доступа к системе доказывает домену, что пользователь, запрашивающий проверку подлинности, владеет персональным компьютером, на котором была предусмотрена карта, и знает ПИН-код виртуальной смарт-карты. Using the virtual smart card to access the system proves to the domain that the user who is requesting authentication has possession of the personal computer upon which the card has been provisioned and knows the virtual smart card PIN. Поскольку этот запрос не мог исходить из системы, не заверенной доменом для доступа этого пользователя, и пользователь не мог инициировал запрос, не зная ПИН-кода, устанавливается сильная двух факторовая проверка подлинности. Because this request could not have possibly originated from a system other than the system certified by the domain for this user’s access, and the user could not have initiated the request without knowing the PIN, a strong two-factor authentication is established.

Проверка подлинности клиента Client authentication

Виртуальные смарт-карты также можно использовать для проверки подлинности клиента с помощью безопасного слоя socket (SSL) или аналогичной технологии. Virtual smart cards can also be used for client authentication by using Secure Socket Layer (SSL) or a similar technology. Как и доступ к домену с виртуальной смарт-картой, сертификат проверки подлинности можно получить для виртуальной смарт-карты, предоставляемой удаленной службе, как это запрашивается в процессе проверки подлинности клиента. Similar to domain access with a virtual smart card, an authentication certificate can be provisioned for the virtual smart card, provided to a remote service, as requested in the client authentication process. Это соответствует принципам двух факторов проверки подлинности, так как сертификат доступен только с компьютера, на котором размещена виртуальная смарт-карта, и пользователю необходимо ввести ПИН-код для начального доступа к карте. This adheres to the principles of two-factor authentication because the certificate is only accessible from the computer that hosts the virtual smart card, and the user is required to enter the PIN for initial access to the card.

Перенаправление виртуальных смарт-карт для удаленных подключений к настольным компьютерам Virtual smart card redirection for remote desktop connections

Концепция двух факторов проверки подлинности, связанной с виртуальными смарт-картами, зависит от близости пользователей к компьютерам, на которые они могут получать доступ к ресурсам домена. The concept of two-factor authentication associated with virtual smart cards relies on the proximity of users to the computers that they access domain resources through. Поэтому, когда пользователь удаленно подключается к компьютеру, на который размещены виртуальные смарт-карты, виртуальные смарт-карты, расположенные на удаленном компьютере, нельзя использовать во время удаленного сеанса. Therefore, when a user remotely connects to a computer that is hosting virtual smart cards, the virtual smart cards that are located on the remote computer cannot be used during the remote session. Однако виртуальные смарт-карты, хранимые на подключаемом компьютере (который находится под физическим контролем пользователя) загружаются на удаленный компьютер, и их можно использовать так, как если бы они были установлены с помощью TPM удаленного компьютера. However, the virtual smart cards that are stored on the connecting computer (which is under physical control of the user) are loaded onto the remote computer, and they can be used as if they were installed by using the remote computer’s TPM. Это расширяет права пользователя на удаленный компьютер, сохраняя при этом принципы двух факторов проверки подлинности. This extends a user’s privileges to the remote computer, while maintaining the principles of two-factor authentication.

Windows To Go и виртуальные смарт-карты Windows To Go and virtual smart cards

Виртуальные смарт-карты хорошо работают с Windows To Go, где пользователь может загрузиться в поддерживаемую версию Windows с совместимого съемного устройства хранения. Virtual smart cards work well with Windows To Go, where a user can boot into a supported version of Windows from a compatible removable storage device. Для пользователя может быть создана виртуальная смарт-карта, которая привязана к TPM на физическом компьютере, к которому подключено съемное устройство хранения. A virtual smart card can be created for the user, and it is tied to the TPM on the physical host computer to which the removable storage device is connected. Когда пользователь загружает операционную систему с другого физического компьютера, виртуальная смарт-карта будет недоступна. When the user boots the operating system from a different physical computer, the virtual smart card will not be available. Это можно использовать для сценариев, когда один физический компьютер является общим для многих пользователей. This can be used for scenarios when a single physical computer is shared by many users. Каждому пользователю может быть предоставлено съемное хранилище для Windows To Go с виртуальной смарт-картой, предусмотренной для пользователя. Each user can be given a removable storage device for Windows To Go, which has a virtual smart card provisioned for the user. Таким образом, пользователи могут получить доступ только к личной виртуальной смарт-карте. This way, users are only able to access their personal virtual smart card.

Случаи использования конфиденциальности Confidentiality use cases

Шифрование электронной почты S/MIME S/MIME email encryption

Физические смарт-карты предназначены для удержания закрытых ключей, которые можно использовать для шифрования и расшифровки электронной почты. Physical smart cards are designed to hold private keys that can be used for email encryption and decryption. Эта функция также существует в виртуальных смарт-картах. This functionality also exists in virtual smart cards. Используя S/MIME с общедоступным ключом пользователя для шифрования электронной почты, отправитель электронной почты может быть уверен, что расшифровать электронную почту сможет только человек с соответствующим закрытым ключом. By using S/MIME with a user’s public key to encrypt email, the sender of an email can be assured that only the person with the corresponding private key will be able to decrypt the email. Эта гарантия является результатом неэкспортируемости закрытого ключа. This assurance is a result of the non-exportability of the private key. Он никогда не существует в пределах досягаемости вредоносного программного обеспечения, и он остается защищенным TPM даже во время расшифровки. It never exists within reach of malicious software, and it remains protected by the TPM—even during decryption.

BitLocker для объемов данных BitLocker for data volumes

Технология шифрования дисков sBitLocker использует шифрование с симметричным ключом для защиты контента жесткого диска пользователя. sBitLocker Drive Encryption technology makes use of symmetric-key encryption to protect the content of a user’s hard drive. Это гарантирует, что если физическое владение жесткого диска будет нарушено, злоумышленник не сможет считыть данные с диска. This ensures that if the physical ownership of a hard drive is compromised, an adversary will not be able to read data off the drive. Ключ, используемый для шифрования диска, может храниться в виртуальной смарт-карте, что требует знания ПИН-кода виртуальной смарт-карты для доступа к диску и владению компьютером, на котором размещена виртуальная смарт-карта TPM. The key used to encrypt the drive can be stored in a virtual smart card, which necessitates knowledge of the virtual smart card PIN to access the drive and possession of the computer that is hosting the TPM virtual smart card. Если диск получается без доступа к TPM, на котором размещена виртуальная смарт-карта, любая грубая силовая атака будет очень сложной. If the drive is obtained without access to the TPM that hosts the virtual smart card, any brute force attack will be very difficult.

BitLocker также можно использовать для шифрования портативных дисков, что включает хранение ключей в виртуальных смарт-картах. BitLocker can also be used to encrypt portable drives, which involves storing keys in virtual smart cards. В этом сценарии (в отличие от использования BitLocker с физической смарт-картой) зашифрованный диск можно использовать только в том случае, если он подключен к хосту для виртуальной смарт-карты, используемой для шифрования диска, так как ключ BitLocker доступен только с этого компьютера. In this scenario (unlike using BitLocker with a physical smart card), the encrypted drive can be used only when it is connected to the host for the virtual smart card that is used to encrypt the drive, because the BitLocker key is only accessible from this computer. Однако этот метод может быть полезен для обеспечения безопасности резервных дисков и использования личных накопителей за пределами основного жесткого диска. However, this method can be useful to ensure the security of backup drives and personal storage uses outside the main hard drive.

Пример использования целостности данных Data integrity use case

Подписание данных Signing data

Чтобы проверить авторство данных, пользователь может подписать их с помощью закрытого ключа, хранимого на виртуальной смарт-карте. To verify authorship of data, a user can sign it by using a private key that is stored in the virtual smart card. Цифровые подписи подтверждают целостность и происхождение данных. Digital signatures confirm the integrity and origin of the data. Если ключ хранится в доступной операционной системе, злоумышленник может получить к нему доступ и использовать его для изменения уже подписанных данных или для подмены удостоверения владельца ключа. If the key is stored in an operating system that is accessible, a malicious user could access it and use it to modify already signed data or to spoof the key owner’s identity. Однако если этот ключ хранится в виртуальной смарт-карте, его можно использовать только для подписи данных на хост-компьютере. However, if this key is stored in a virtual smart card, it can be used only to sign data on the host computer. Его нельзя экспортировать в другие системы (намеренно или непреднамеренно, например при краже вредоносных программ). It cannot be exported to other systems (intentionally or unintentionally, such as with malware theft). Это делает цифровые подписи гораздо более безопасными, чем другие методы для хранения ключей. This makes digital signatures far more secure than other methods for private key storage.

Новые и измененные функциональные возможности с Windows 8.1 New and changed functionality as of Windows 8.1

Улучшения в Windows 8.1 позволили разработчикам создавать приложения Microsoft Store для создания и управления виртуальными смарт-картами. Enhancements in Windows 8.1 enabled developers to build Microsoft Store apps to create and manage virtual smart cards.

Протокол управления устройствами виртуальной смарт-карты DCOM Interfaces for Trusted Platform Module (TPM) предоставляет интерфейс удаленного протокола модели распределенных компонентов (DCOM), используемый для создания и уничтожения виртуальных смарт-карт. The DCOM Interfaces for Trusted Platform Module (TPM) Virtual Smart Card device management protocol provides a Distributed Component Object Model (DCOM) Remote Protocol interface used for creating and destroying virtual smart cards. Виртуальная смарт-карта — это устройство, которое представляет интерфейс устройства, соответствующий спецификации PC/SC для устройств интерфейса, подключенных к ПК, на платформу хост-операционной системы (ОС). A virtual smart card is a device that presents a device interface complying with the PC/SC specification for PC-connected interface devices to its host operating system (OS) platform. Этот протокол не предполагает ничего о реализации виртуальных устройств смарт-карт. This protocol does not assume anything about the underlying implementation of virtual smart card devices. В частности, хотя она предназначена в основном для управления виртуальными смарт-картами на основе TPMs, она также может использоваться для управления другими типами виртуальных смарт-карт. In particular, while it is primarily intended for the management of virtual smart cards based on TPMs, it can also be used to manage other types of virtual smart cards.

Какой эффект дает это изменение? What value does this change add?

Начиная с Windows 8.1, разработчики приложений могут создавать в своих приложениях следующие возможности по обслуживанию виртуальных смарт-карт, чтобы снять некоторые административные нагрузки. Starting with Windows 8.1, application developers can build into their apps the following virtual smart card maintenance capabilities to relieve some of your administrative burdens.

Создайте новую виртуальную смарт-карту или выберите виртуальную смарт-карту из списка доступных виртуальных смарт-карт в системе. Create a new virtual smart card or select a virtual smart card from the list of available virtual smart cards on the system. Определите, с чем приложение должно работать. Identify the one that the application is supposed to work with.

Персонализация виртуальной смарт-карты. Personalize the virtual smart card.

Измените клавишу администрирования. Change the admin key.

Разнообразить ключ администратора, который позволяет пользователю разблокировать ПИН-код в сценарии, заблокированном ПИН-кодом. Diversify the admin key which allows the user to unblock the PIN in a PIN-blocked scenario.

Измените ПИН-код. Change the PIN.

Сброс или разблокирование ПИН-кода. Reset or Unblock the PIN.

Уничтожите виртуальную смарт-карту. Destroy the virtual smart card.

Что работает иначе? What works differently?

Начиная с Windows 8.1, разработчики приложений Microsoft Store могут создавать приложения, которые могут побудить пользователя сбросить или разблокировать и изменить ПИН-код виртуальной смарт-карты. Starting with Windows 8.1, Microsoft Store app developers are able to build apps that have the capability to prompt the user to reset or unblock and change a virtual smart card PIN. Это возложит на пользователя больше ответственности за обслуживание виртуальной смарт-карты, но это также может обеспечить более последовательное обслуживание пользователей и администрирование в вашей организации. This places more responsibility on the user to maintain their virtual smart card but it can also provide a more consistent user experience and administration experience in your organization.

Дополнительные сведения о разработке приложений Microsoft Store с этими возможностями см. в записи Протокола управления виртуальными смарт-картами модулядоверенных платформ. For more information about developing Microsoft Store apps with these capabilities, see Trusted Platform Module Virtual Smart Card Management Protocol.

Дополнительные сведения об управлении этими возможностями в виртуальных смарт-картах см. в дополнительных сведениях о понимании и оценке виртуальных смарт-карт. For more information about managing these capabilities in virtual smart cards, see Understanding and Evaluating Virtual Smart Cards.

Требования к оборудованию Hardware requirements

Чтобы использовать технологию виртуальных смарт-карт, TPM 1.2 — это минимум, необходимый для компьютеров с Windows 10 или Windows Server 2016. To use the virtual smart card technology, TPM 1.2 is the minimum required for computers running Windows 10 or Windows Server 2016.

Требования к программному обеспечению Software requirements

Чтобы использовать технологию виртуальных смарт-карт, компьютеры должны запускать одну из следующих операционных систем: To use the virtual smart card technology, computers must be running one of the following operating systems:

• Windows Server 2016 Windows Server 2016
• Windows Server2012R2 Windows Server 2012 R2
• Windows Server 2012 Windows Server 2012
• Windows 10; Windows 10
• Windows 8.1 Windows 8.1
• Windows 8 Windows 8