Virtual Smartcard

Nicht jeder wird einen Smartcard-Leser im Computer haben und dann noch eine Smartcard. Es gibt mittlerweile auch Smartcards als USB-Stick, die quasi Leser und Karte kombiniert haben. Mit einem TPM-Chip können Sie aber auch eine virtuelle Smartcard auf dem Computer mit dem Programm tpmvscmgr.exe einrichten. Das funktioniert sogar in einer VM, wenn es z.B. eine HyperV Gen2 Umgebung ist und sie TPM in den Einstellungen der VM aktiviert haben.

TpmVscMgr create /Name Test /pin Prompt /adminkey random /generate

Entfernen geht in dem Fall auch wieder schnell mit:

TpmVscMgr destroy /instance root\smartcardreader\0000

Danach sollten sie im Gerätemanager die virtuelle Smartcard auch finden:

Wenn Sie dann eine PKI mit einem entsprechenden Template haben, können Sie das Zertifikat über die MMC für Computer oder, sofern installiert, das Webenrollment auf http://<pkiurl>/certsrv/ anfordern.

Wenn der Rollout korrekt gelaufen ist, sollten Sie das Zertifikat in ihrem Zertifikatsspeicher finden.

Leider können Sie bei der Nutzung des TPM nicht einfach die Smartcard "rausziehen" um die sichere Ablage zu prüfen. Bei einer Anmeldung an einem Server z.B. per RDP können Sie aber sehen, dass das Zertifikat nun aus dem Sicherheitsschlüssel kommt und sie die PIN eingeben müssen:

Achtung:
Die Ablage der Smartcard im TPM-Chip ist nur so sicher wie die Zugriffskontrolle auf die Windows Instanz und den Chip. Wählen Sie eine "gute" PIN und nicht grade 12345678 und der Schutz der Festplatte mittels Bitlocker sollte auch selbstverständlich sein. Es gibt aber in dem Fall keine physikalische Trennung von Smartcard und PIN-Eingabe über eine andere Tastatur.

Im dem Zuge kommt nun auch "Windows Hello for Business" ins Blickfeld, welche mit virtuellen Smartcards harmoniert, um die PIN-Eingabe zu vereinfachen.

Windows Hello for Business is an alternative sign-in method for Windows 10 devices. It uses Active Directory or an Azure Active Directory (Azure AD) account to replace a password, smart card, or virtual smart card.
Quelle: Windows Hello for Business settings in Configuration Manager  https://docs.microsoft.com/en-us/mem/configmgr/protect/deploy-use/windows-hello-for-business-settings

Beginning with Windows 10, version 1709, Windows Hello for Business used as a smart card (smart card emulation that is enabled by default) provides the same user experience of default smart card PIN caching. Each process requesting a private key operation will prompt the user for the PIN on first use. Subsequent private key operations won't prompt the user for the PIN. The smart card emulation feature of Windows Hello for Business verifies the PIN and then discards the PIN in exchange for a ticket. The process doesn't receive the PIN, but rather the ticket that grants them private key operations. Windows 10 doesn't provide any Group Policy settings to adjust this caching.
Quelle: https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-faq#how-does-pin-caching-work-with-windows-hello-for-business

Weitere Links