Создание и использование виртуальных смарт-карт на домашнем ПК с Windows 8

Нынешний рассказ о способности сотворения и использования виртуальных смарт-карт (Virtual Smart Cards) в Windows 8 Enterprise и Windows 8 Pro. Только эти издания Windows 8 поддерживают функцию Шифрование диска BitLocker, которая нужна для виртуальных смарт-карт в составе Windows 8.

Проверка наличия в компьютере модуля TPM
Инициализация модуля TPM
Создание виртуальной смарт-карты
Формирование сертификата
Изменение ПИН-кода виртуальной смарт-карты
Запрет входа без виртуальной смарт-карты

Виртуальные смарт-карты – это новенькая, но очень своевременная функция для Windows, беря во внимание, как просто поглядеть на чужой пароль от локальной учетной записи. Кто не в курсе, пусть наберет в хоть какой поисковой машине слово mimikatz. В этом нет ничего отвратительного, чем почаще мы его будем набирать, тем быстрей Microsoft задумается о необходимости решить эту делему. Если про недочеты не гласить, это не означает, что их нет. Ниже на картинке представлен итог работы этой утилиты в Windows 8.

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

Но не все так плохо и сейчас, если использовать для входа в систему виртуальную смарт-карту. В данном случае мы защищены.

Правда, и здесь не без сложностей – в дополнение к Windows 8 нужен особенный компьютер. Cмарт-карта, это, очень условно, всего только особая микросхема, скрывающая, в том числе и ПИН-код доступа в операционную систему для локальной учетной записи. Для сотворения и использования виртуальной смарт-карты требуется компьютер, имеющий в собственном составе модуль TPM.

Проверка наличия в компьютере модуля TPM

Итак, у нас есть Windows 8 Enterprise либо Windows 8 Pro. Откроем Диспетчер устройств и убедимся, в наличии модуля TPM. В разделе Устройства безопасности находим Trusted Platform Module (модуль TPM):

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

В данном случае вы сможете использовать виртуальную смарт-карту.

Инициализация модуля TPM

TPM модуль на борту, но пока не делает никаких действий. Вначале, в новеньком компьютере, он всегда отключен. Открываем: Панель управления –> Шифрование диска BitLocker – в левом нижнем углу этого окна избираем -> Администрирование доверенного платформенного модуля.

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

В раскрывшемся окне под заголовком Действие, жмем Приготовить TPM. Другие функции пока не доступны.

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

Для проведения инициализации модуля TPM система предлагает перегрузить компьютер. Перед новым стартом системы, раскрывается текстовое окно для доказательства инициализации модуля TPM. Это обычная реакция со стороны BIOS.

Вероятен таковой вариант: TPM configuration change was required to State: Enable & Owner Install. Сходу предлагается на выбор: Reject (Отклонить), либо Execute (Выполнить). Могут быть и другие варианты подобного запроса, но смысл будет один, это просьба подтвердить запрос на инициализацию.

Избираем Execute (Выполнить). Будьте внимательны, так как по дефлоту всегда предлагается Reject (Отклонить). Если операция инициализации была доказана, то после загрузки Windows на дисплее появляется такое окно:

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

Вставляем USB-накопитель и сохраняем на него пароль. На этом все. Инициализация модуля TPM завершена. Кстати, по сопоставлению с Windows 7 процесс инициализации модуля TPM в Windows 8 упростился. В Windows 7 была более длинноватая дорога c разными вопросами.

Дальше открываем: Панель управления –> Шифрование диска BitLocker – в левом нижнем углу этого окна избираем Администрирование доверенного платформенного модуля.

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

Лицезреем, что все стрелочки у вероятных действий с модулем TPM стали ярко зеленоватыми, пункты меню темными (Enable), другими словами все функции в Администрировании доверенного платформенного модуля доступны, а в разделе состояние находится надпись: Модуль TPM готов к использованию. Можно приступить к главному на сей день, созданию виртуальной смарт-карты.

Создание виртуальной смарт-карты

В командной строке, запущенной с правами админа, исполняем:

tpmvscmgr.exe create /name tpmvsc /pin default /adminkey random /generate

Смотрим ход сотворения.

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

По окончанию этого процесса лицезреем установленный для нас по дефлоту ПИН-код и надпись “Смарт-карта доверенного платформенного модуля сотворена”. Пока все очень просто.

В Диспетчере устройств проверяем наличие виртуальной смарт-карты (tpmvsc) в «Устройствах чтения смарт-карт».

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

На веб-сайте Microsoft есть неплохой документ: Understanding and Evaluating Virtual Smart Cards. В нем приведено полное описание использования виртуальныx смарт-карт, но только применительно к компьютерам входящим в домен корпоративной сети. Дело в том, что для следующего использования сделанной карты нужен сертификат, который должен быть получен из доверенного центра в домене. Для других случаев (домашний ПК) в документации ничего нет. Неясно, что делать, если есть желание отрешиться от использования пароля от локальной учетной записи и заходить на личный ПК с ПИН-кодом от виртуальной смарт-карты. Об этом как раз далее.

Нам нужно получить сертификат для виртуальной смарт-карты локальной учетной записи на компьютер, не включенный в домен корпоративной сети.

Формирование сертификата

Мир большой, и он не без хороших людей. Берем на веб-сайте http://www.mysmartlogon.com/products/eidauthenticate.html, зависимо от разрядности системы, свободно распространяемую утилиту EIDInstall_0.5.0.3_x64.exe либо EIDInstall_0.5.0.3_x86.exe. Закрываем глаза на то, что в списке совместимых с ней устройств виртуальная смарт-карта от Microsoft пока отсутствует.

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

Устанавливаем программку EIDAuthenticate и идем в Панель управления, Система и безопасность. Избираем Smart Card Logon. В открывшемся окне указываем «Настройка нового набора учетных данных» и, выбрав Дальше, формируем сертификат.

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

По дороге «Дальше -> Дальше» придется один раз ввести ПИН-код для карты и собственный пароль от локальной учетной записи. В итоге получим сертификат, привязанный к сделанной виртуальной смарт-карте и к локальной учетной записи.

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

Но это еще не все. Нужно поменять ПИН-код и запретить вход без виртуальной смарт-карты.

Изменение ПИН-кода виртуальной смарт-карты

Жмем Ctrl+Alt+Del. Избираем поменять пароль. Заполняем все поля в открывшемся окне. К этому моменту Windows 8 уже знает, что для локальной учетной записи сотворена виртуальная смарт-карта. Вводим:

пароль от локальной учетной записи;
старенькый ПИН-код;
новый ПИН-код (дважды).

Запрет входа без виртуальной смарт-карты

Для запрета входа без виртуальной смарт-карты изменяем одну из политик в параметрах безопасности локального компьютера. Включаем «Интерактивный вход в систему: добиваться смарт-карту».

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

Кто запамятовал либо не знает как, пристально глядит на картину, на ней маршрут, где это нужно сделать. И все… C этого момента только верный ПИН-код от виртуальной смарт-карты, продолжит открывать для нас обеспеченный внутренний мир Windows 8. Пароль от локальной учетной записи либо ввод графического пароля системой больше не принимается.

Создание и внедрение виртуальных смарт-карт на домашнем ПК с Windows 8
Прирастить набросок

Описанный подход работает и при установке Windows 8 на наружный USB SSD диск. В этой версии, законная возможность сотворения такового “носимого” варианта операционной системы, изготовлена Microsoft в первый раз. В данном случае, виртуальная смарт-карта привязывается к модулю TPM определенного компьютера и Windows 8 стартует только с ним.

Для полного счастья, системный диск стоит зашифровать при помощи BitLocker. И никогда никому не выяснить ваших секретов!

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.