Виртуальная смарт-карта. Используем?

Одной из задач проектирования безопасности Active Directory является обеспечение стойкости аутентификации в доменном окружении. В экосистеме Windows «канонической» технологией, удовлетворяющей это условие, является двухфакторная аутентификация посредством смарт-карт.

Физическая смарт-карта — это отдельное физическое устройство. Оно обладает микропроцессором со своей ОС, который поддерживает криптографические операции. Для полноценного внедрения смарт-карт на предприятии, необходимо выполнить ряд условий. К ним относится наличие работающей инфраструктуры PKI и закупка устройств. Как раз с последним и возникает проблема, так как это основная статья расходов. Виртуальная смарт-карта призвана решить эту задачу.

Релиз Windows 8 принес нам технологию виртуальных смарт-карт. Она имитирует функциональность физической смарт-карты, но в отличии от последней использует технологию Trusted Platform Module (TPM) для хранения и поддержки криптографических операций. Это означает, что при наличии на компьютере TPM 1.2 или 2.0 вы можете создать виртуальные смарт-карты. По техническим характеристикам они не будут отличатся от физических собратьев. Для конечного пользователя виртуальная смарт-карта всегда доступна на компьютере и может участвовать в процессах стойкой аутентификации. Это значительно снижает стоимость управления и развертывания смарт-карт на предприятии.

Сам процесс развертывания смарт-карты крайне прост и требует использование утилиты Tpmvscmgr. Необходимо запустить командную строку от имени администратора и выполнить следующее:

Результат выполнения:

Виртуальная смарт-карта. Процесс создания.
Виртуальная смарт-карта. Процесс создания.

В диспетчере устройств будет добавлено новое устройство:

Устройство чтения виртуальных смарт-карт
Устройство чтения виртуальных смарт-карт

Устройство готово к работе.

Основным недостатком виртуальных смарт-карт является невозможность транспортировки между компьютерами. Как только смарт-карта будет создана, она никогда не покинет компьютер, так как привязана к TPM. Во всем остальном она обладает тем же функционалом что и ее физический собрат.

Если у вас возникли какие-либо вопросы, пожалуйста, пишите в комментарии.

 

Оставить комментарий

avatar
  Подписаться  
Уведомление о