Virtual Smartcard
Nicht jeder wird einen Smartcard-Leser im Computer haben und dann noch eine Smartcard. Es gibt mittlerweile auch Smartcards als USB-Stick, die quasi Leser und Karte kombiniert haben. Mit einem TPM-Chip können Sie aber auch eine virtuelle Smartcard auf dem Computer mit dem Programm tpmvscmgr.exe einrichten. Das funktioniert sogar in einer VM, wenn es z.B. eine HyperV Gen2 Umgebung ist und sie TPM in den Einstellungen der VM aktiviert haben.
TpmVscMgr create /Name Test /pin Prompt /adminkey random /generate
Entfernen geht in dem Fall auch wieder schnell mit:
TpmVscMgr destroy /instance root\smartcardreader\0000
Danach sollten sie im Gerätemanager die virtuelle Smartcard auch finden:
Wenn Sie dann eine PKI mit einem entsprechenden Template haben, können Sie das Zertifikat über die MMC für Computer oder, sofern installiert, das Webenrollment auf http://<pkiurl>/certsrv/ anfordern.
Wenn der Rollout korrekt gelaufen ist, sollten Sie das Zertifikat in ihrem Zertifikatsspeicher finden.
Leider können Sie bei der Nutzung des TPM nicht einfach die Smartcard "rausziehen" um die sichere Ablage zu prüfen. Bei einer Anmeldung an einem Server z.B. per RDP können Sie aber sehen, dass das Zertifikat nun aus dem Sicherheitsschlüssel kommt und sie die PIN eingeben müssen:
Achtung:
Die Ablage der Smartcard im TPM-Chip ist nur so sicher wie
die Zugriffskontrolle auf die Windows Instanz und den Chip.
Wählen Sie eine "gute" PIN und nicht grade 12345678 und der
Schutz der Festplatte mittels Bitlocker sollte auch
selbstverständlich sein. Es gibt aber in dem Fall keine
physikalische Trennung von Smartcard und PIN-Eingabe über
eine andere Tastatur.
Im dem Zuge kommt nun auch "Windows Hello for Business" ins Blickfeld, welche mit virtuellen Smartcards harmoniert, um die PIN-Eingabe zu vereinfachen.
Windows Hello for Business is an alternative sign-in method for Windows 10
devices. It uses Active Directory or an Azure Active Directory (Azure AD)
account to replace a password, smart card, or virtual smart card.
Quelle: Windows Hello for Business settings in Configuration Manager
https://docs.microsoft.com/en-us/mem/configmgr/protect/deploy-use/windows-hello-for-business-settings
Beginning with Windows 10, version 1709, Windows Hello for Business used as a
smart card (smart card emulation that is enabled by default) provides the same
user experience of default smart card PIN caching. Each process requesting a
private key operation will prompt the user for the PIN on first use. Subsequent
private key operations won't prompt the user for the PIN. The smart card
emulation feature of Windows Hello for Business verifies the PIN and then
discards the PIN in exchange for a ticket. The process doesn't receive the PIN,
but rather the ticket that grants them private key operations. Windows 10
doesn't provide any Group Policy settings to adjust this caching.
Quelle:
https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-faq#how-does-pin-caching-work-with-windows-hello-for-business
- CSP shows Loading when using Advanced
Certificate Request to submit a request to
an enterprise CA
https://docs.microsoft.com/en-us/troubleshoot/developer/browsers/security-privacy/csp-shows-loading-for-certificate-request - Setting up Virtual Smart card logon
using Virtual TPM for Windows 10 Hyper-V VM
Guests
https://docs.microsoft.com/en-us/archive/blogs/askds/setting-up-virtual-smart-card-logon-using-virtual-tpm-for-windows-10-hyper-v-vm-guests - Windows Hello for Business Frequently
Asked Questions (FAQ) - What about virtual
smart cards?
https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-faq#what-about-virtual-smart-cards - Erstellen einer virtuellen Smartcard in
einem Hyper-V Gastsystem
https://www.gradenegger.eu/?p=2069#more-2069 - You are always prompted for the virtual
smart card PIN when you use the Certutil.exe
command-line tool in Windows 8.1 or Windows
Server 2012 R2
https://support.microsoft.com/en-us/topic/you-are-always-prompted-for-the-virtual-smart-card-pin-when-you-use-the-certutil-exe-command-line-tool-in-windows-8-1-or-windows-server-2012-r2-76703a10-b164-22f0-a067-79004b925a39
Weitere Links
- Endpoint Security - Smartcard
- Firmen CA
- Password Hash Sync (PHS)
- Pass Through Authentifizierung (PTA)
- Hybrid Modern Authentication (HMA)
- GET-ADChanges
-
Fine-grained Password Policy
Seit Windows 2008 können Sie unterschiedliche Richtlinien für Kennworte vergeben -
Richtlinien für die Aktivierung der
Smartcardanmeldung bei
Zertifizierungsstellen von Drittanbietern
https://docs.microsoft.com/de-de/troubleshoot/windows-server/windows-security/enabling-smart-card-logon-third-party-certification-authorities - Interactive logon: Require smart card -
security policy setting
https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/interactive-logon-require-smart-card - "msDS-ExpirePasswordsOnSmartCardOnlyAccounts
not exist" error when you check domain
object properties by using RSAT in Windows
10
https://support.microsoft.com/en-us/topic/90aa76dd-9477-9473-812a-af767b7444d1 - KnowledgeBase: Windows Hello for
Business satisfies Smartcard is required for
interactive logon requirements
https://dirteam.com/sander/2021/12/03/knowledgebase-windows-hello-for-business-satisfies-smartcard-is-required-for-interactive-logon-requirements/ - Smartcards mit Windows 10 im Unternehmen
https://www.heise.de/select/ix/2017/11/1509748415154784 - Automatisches Ändern der Passwörter für
Konten, die eine Anmeldung via Smartcard
oder Windows Hello for Business erfordern
https://www.gradenegger.eu/?p=6846 - Expire Passwords On Smart Card Only
Accounts
https://secureidentity.se/expire-passwords-on-smart-card-only-accounts/ - Domänencontroller (oder andere
Teilnehmer) zwingen, einen Onlineresponder
(OCSP) zu verwenden
https://www.gradenegger.eu/?tag=smart-card-logon - Custom installation of Azure Active
Directory Connect
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-custom - Erstellen einer virtuellen Smartcard in
einem Hyper-V Gastsystem
https://www.gradenegger.eu/?p=2069#more-2069 - PRTG version 21.2.68 includes Single
Sign-On via Azure AD
https://blog.paessler.com/prtg-version-21.2.68-includes-single-sign-on-via-azure-ad