Neues bei Smartcards

Virtuelle Smartcards emulieren die Funktionalität herkömmlicher Smartcards, nutzen jedoch den TPM-Chip (Trusted Platform Module), der in den Computern vieler Organisation verfügbar ist, anstatt die Verwendung einer separaten physischen Smartcard und eines Smartcardlesers erforderlich zu machen. Die Verwendung virtueller Smartcards unterscheidet sich vom Einsatz herkömmlichen Smartcards im Hinblick auf Technik, Funktion, Sicherheit und Kosten.

Für den Endbenutzer ist eine virtuelle Smartcard eine Smartcard, die ständig auf dem Computer verfügbar ist. Wenn ein Benutzer mehr als einen Computer nutzen muss, muss für jeden Computer, den der Benutzer verwendet, eine neue virtuelle Smartcard ausgestellt werden. Auf einem Computer, der von mehreren Benutzern gemeinsam genutzt wird, können sich mehrere virtuelle Smartcards befinden, und zwar eine pro Benutzer.

Herkömmliche Smartcards und TPM-gestützte virtuelle Smartcards bieten einen vergleichbaren Grad an Sicherheit. TPM-gestützte virtuelle Smartcards können ohne zusätzliche Materialkosten bereitgestellt werden, sofern die Mitarbeiter über Computer mit integrierten TPMs verfügen. Weitere Informationen finden Sie unter Virtuelle Smartcards: Grundlegendes und Bewertung

Endbenutzer profitieren davon, dass Windows 8 und Windows Server 2012 zuverlässiger erkennen, ob ein Smartcardleser installiert ist und ob bei der letzten Anmeldung oder Entsperrung des Systems die Smartcard oder ein Kennwort verwendet wurde. Falls keine Smartcard eingesetzt wurde und der Benutzer das Symbol für die Smartcardanmeldung auswählt, wird er in Meldung darüber informiert, dass eine Smartcard eingesetzt werden muss. Nach dem Einsetzen der Karte wird das Dialogfeld zur Eingabe der Smartcard-PIN angezeigt. Wenn der Benutzer die automatisch angezeigte Anmeldeoption nicht verwenden möchten (weil er beispielsweise die Smartcard nicht zur Hand hat), wird es ihm mithilfe einer zweiten Meldung ermöglicht, eine andere Anmeldeoption auszuwählen.

Es wurde Logik zur Erkennung von Smartcardlesern hinzufügt, sodass der Smartcard-Dienst nur ausgeführt wird, wenn dies angebracht ist. In Windows Server 2012 und Windows 8 wird der Smartcard-Dienst ("scardsvr") automatisch gestartet, wenn der Benutzer einen Smartcardleser anschließt, und automatisch beendet, wenn der Benutzer einen Smartcardleser entfernt und kein weiterer Smartcardleser an den Computer angeschlossen ist. Wenn das System gestartet wird und ein zuvor am Computer angeschlossener Smartcardleser nicht mehr mit dem System verbunden ist, wird der Smartcard-Dienst automatisch gestartet. Der Dienst wird jedoch eine Minute nach dem letzten API-Aufruf des Smartcard-Diensts automatisch beendet, falls keine Smartcardleser an den Computer angeschlossen werden. Wenn bisher noch nie ein Smartcardleser an den Computer angeschlossen war, wird der Dienst nicht automatisch gestartet.

Windows 8 unterstützt eine Reihe neuer Arten von Desktopanwendungen. Entwickler von Anwendungen, in denen die Sicherheitsvorteile von Smartcards genutzt werden sollen, müssen folgende Anforderungen erfüllen. Andernfalls ist es diesen Anwendungen nicht möglich, Smartcards automatisch zur Unterstützung ihrer Funktionalität zu nutzen.

• Um eine Smartcard verwenden zu können, muss das Anwendungsmanifest von Anwendungen, die in einem App-Container ausgeführt werden, die SharedUserCertifcates-Funktion aufweisen. Ohne diese Funktion wird es der Anwendung nicht gestattet, eine Smartcard für die Authentifizierung, Signierung oder Verschlüsselung zu verwenden. Weitere Informationen zu dieser Funktion und ihrer Einbindung in das Manifest finden Sie im Thema zum Festlegen von Zertifikatspeicherfunktionen.
  
  
• Für WinRT-Anwendungen ist die Smartcardunterstützung auf die SSL-Clientauthentifizierung beschränkt. Eine Beispielanwendung, die die Verwendung von Smartcards für die SSL-Clientauthentifizierung veranschaulicht, finden Sie unter http://msdn.microsoft.com/library/windows/apps/hh464943.aspx.