Одной из задач проектирования безопасности Active Directory является обеспечение стойкости аутентификации в доменном окружении. В экосистеме Windows «канонической» технологией, удовлетворяющей это условие, является двухфакторная аутентификация посредством смарт-карт.
Физическая смарт-карта — это отдельное физическое устройство. Оно обладает микропроцессором со своей ОС, который поддерживает криптографические операции. Для полноценного внедрения смарт-карт на предприятии, необходимо выполнить ряд условий. К ним относится наличие работающей инфраструктуры PKI и закупка устройств. Как раз с последним и возникает проблема, так как это основная статья расходов. Виртуальная смарт-карта призвана решить эту задачу.
Релиз Windows 8 принес нам технологию виртуальных смарт-карт. Она имитирует функциональность физической смарт-карты, но в отличии от последней использует технологию Trusted Platform Module (TPM) для хранения и поддержки криптографических операций. Это означает, что при наличии на компьютере TPM 1.2 или 2.0 вы можете создать виртуальные смарт-карты. По техническим характеристикам они не будут отличатся от физических собратьев. Для конечного пользователя виртуальная смарт-карта всегда доступна на компьютере и может участвовать в процессах стойкой аутентификации. Это значительно снижает стоимость управления и развертывания смарт-карт на предприятии.
Сам процесс развертывания смарт-карты крайне прост и требует использование утилиты Tpmvscmgr. Необходимо запустить командную строку от имени администратора и выполнить следующее:
1 | tpmvscmgr.exe create /name myVSC /pin default /adminkey random /generate |
Результат выполнения:
В диспетчере устройств будет добавлено новое устройство:
Устройство готово к работе.
Основным недостатком виртуальных смарт-карт является невозможность транспортировки между компьютерами. Как только смарт-карта будет создана, она никогда не покинет компьютер, так как привязана к TPM. Во всем остальном она обладает тем же функционалом что и ее физический собрат.
Если у вас возникли какие-либо вопросы, пожалуйста, пишите в комментарии.
А если этому пользователю требуется работать из дома, тогда уж лучше токены.