(0) exportieren Drucken
Alle erweitern

Neues bei Smartcards

Veröffentlicht: Februar 2012

Letzte Aktualisierung: November 2012

Betrifft: Windows 8, Windows RT, Windows Server 2012

In diesem Dokument werden neue Smartcard-bezogene Features der Betriebssysteme Windows Server 2012, Windows 8 und Windows RT beschrieben.

Smartcards in Verbindung mit PINs (Geheimzahlen) werden als zuverlässige und kostengünstige Art der zweistufigen Authentifizierung immer beliebter. Wurden die richtigen Kontrollmechanismen implementiert, muss ein Benutzer seine Smartcard zur Hand haben und die PIN kennen, um Zugriff auf Netzwerkressourcen zu erhalten. Durch die Zweistufigkeit kann die Wahrscheinlichkeit eines nicht autorisierten Zugriffs auf ein Unternehmensnetzwerk deutlich verringert werden. Smartcards ermöglichen in folgenden Fällen eine effektive Sicherheitskontrolle:

  • Authentifizierung für Szenarios wie den Remotezugriff

  • Datenintegrität für Szenarios wie das Signieren von Dokumenten

  • Vertraulichkeit von Daten für Szenarios, die eine Verschlüsselung erfordern

Angesichts der fortschreitenden Bereitstellung einer neuen Generation sicherer Anwendungen in Unternehmen ist davon auszugehen, dass der Einsatz von Smartcards auch in weiteren Szenarios zunehmen wird, beispielsweise um den Zugriff auf hochwertige Anwendungen zu sichern.

Die folgenden Änderungen wurden in Windows Server 2012, Windows 8 und Windows RT an der Smartcardunterstützung vorgenommen:

Virtuelle Smartcards emulieren die Funktionalität herkömmlicher Smartcards, nutzen jedoch den TPM-Chip (Trusted Platform Module), der in den Computern vieler Organisationen verfügbar ist, anstatt die Verwendung einer separaten physischen Smartcard und eines Smartcardlesers erforderlich zu machen. Die Verwendung virtueller Smartcards unterscheidet sich vom Einsatz herkömmlicher Smartcards im Hinblick auf Technik, Funktion, Sicherheit und Kosten.

Für den Endbenutzer ist eine virtuelle Smartcard eine Smartcard, die ständig auf dem Computer verfügbar ist. Wenn ein Benutzer mehr als einen Computer nutzen muss, muss für jeden Computer, den der Benutzer verwendet, eine neue virtuelle Smartcard ausgestellt werden. Auf einem Computer, der von mehreren Benutzern gemeinsam genutzt wird, können sich mehrere virtuelle Smartcards befinden, und zwar eine pro Benutzer.

Herkömmliche Smartcards und TPM-gestützte virtuelle Smartcards bieten einen vergleichbaren Grad an Sicherheit. TPM-gestützte virtuelle Smartcards können ohne zusätzliche Materialkosten bereitgestellt werden, sofern die Mitarbeiter über Computer mit integrierten TPMs verfügen. Weitere Informationen finden Sie unter Virtuelle Smartcards: Grundlegendes und Bewertung

Endbenutzer profitieren davon, dass anhand der Anmeldeoberfläche von Windows Server 2012 und Windows 8 zuverlässiger erkannt werden kann, ob ein Smartcardleser installiert ist und ob bei der letzten Anmeldung oder Entsperrung des Computers die Smartcard oder ein Kennwort verwendet wurde. Falls vorher keine Smartcard installiert wurde und der Benutzer das Symbol für die Smartcardanmeldung auswählt, wird er in einer Meldung darüber informiert, dass eine Smartcard eingesetzt werden muss. Nach dem Einsetzen der Karte wird das Dialogfeld zur Eingabe der Smartcard-PIN angezeigt. Wenn der Benutzer die automatisch angezeigte Anmeldeoption nicht verwenden möchten (weil er beispielsweise die Smartcard nicht zur Hand hat), wird es ihm mithilfe einer zweiten Meldung ermöglicht, eine andere Anmeldeoption auszuwählen.

Es wurde Logik zur Erkennung von Smartcardlesern hinzufügt, sodass der Smartcard-Dienst nur ausgeführt wird, wenn dies angebracht ist. Unter Windows Server 2012 und Windows 8 wird der Smartcard-Dienst ("scardsvr") automatisch gestartet, wenn der Benutzer einen Smartcardleser anschließt, und automatisch beendet, wenn der Benutzer einen Smartcardleser entfernt und kein weiterer Smartcardleser an den Computer angeschlossen ist. Beim Starten wird der Smartcard-Dienst automatisch gestartet, wenn ein Leser bereits an den Computer angeschlossen war, momentan jedoch nicht mit dem System verbunden ist. Falls keine Smartcardleser an den Computer angeschlossen sind, wird der Dienst eine Minute nach dem letzten API-Aufruf an den Smartcard-Dienst automatisch heruntergefahren. Wenn bisher noch nie ein Smartcardleser an den Computer angeschlossen war, wird der Dienst nicht automatisch gestartet.

Unter Windows Server 2012, Windows 8 und Windows RT wird die Smartcard zurückgesetzt, wenn eine Transaktion für eine Dauer von fünf Sekunden auf der Karte verbleibt, ohne dass für die Karte Vorgänge ausgeführt werden. Dies stellt eine Änderung des Verhaltens gegenüber den vorherigen Versionen dar.

Weitere Informationen zu diesem Verhalten finden Sie unter SCardBeginTransaction-Funktion.

Die Smartcardunterstützung für Windows RT enthält Folgendes:

  • Smartcardleser

    Unter Windows RT sind nur Smartcardleser zulässig, für die die Verbindung per USB hergestellt wird und von denen die USB-CCID-Spezifikation (USB Chip/Smart Card Interface Devices) unterstützt wird. Für diese Smartcardleser muss der USB-CCID-Smartcardleser-Klassentreiber verwendet werden, der in Windows RT enthalten ist.

  • Smartcards

    Unter Windows RT werden nur Smartcards unterstützt, die den GIDS- (Generic Identity Device Specification) oder PIV-Standard (Personal Identity Verification) unterstützen. Die Klassentreiber für Smartcards, die auf diesen Spezifikationen basieren, sind in Windows enthalten.

Windows 8 unterstützt eine Reihe neuer Arten von Desktopanwendungen. Entwickler von Anwendungen, in denen die Sicherheitsvorteile von Smartcards genutzt werden sollen, müssen folgende Anforderungen erfüllen. Andernfalls ist es diesen Anwendungen nicht möglich, Smartcards automatisch zur Unterstützung ihrer Funktionalität zu nutzen.

  • Um eine Smartcard verwenden zu können, muss das Anwendungsmanifest von Anwendungen, die in einem App-Container ausgeführt werden, die SharedUserCertifcates-Funktion aufweisen. Ohne diese Funktion ist es für die Anwendung nicht zulässig, eine Smartcard für die Authentifizierung, das Signieren oder die Verschlüsselung zu verwenden. Weitere Informationen zu dieser Funktion und zur Einbindung in das Manifest finden Sie unter Festlegen von Zertifikatspeicherfunktionen.

  • Für Windows RT-Anwendungen ist die Smartcardunterstützung auf die SSL-Clientauthentifizierung beschränkt. Eine Beispielanwendung, die die Verwendung von Smartcards für die SSL-Clientauthentifizierung veranschaulicht, finden Sie unter Windows Store-App für Bankgeschäfte: Exemplarische Vorgehensweise für den Code.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft