Exportar (0) Imprimir
Expandir todo
Personas que lo han encontrado útil: 2 de 2 - Valorar este tema

Novedades de las tarjetas inteligentes

Publicada: febrero de 2012

Actualizado: noviembre de 2012

Se aplica a: Windows 8, Windows RT, Windows Server 2012

Este documento describe las nuevas características relativas a las tarjetas inteligentes en los sistemas operativos Windows Server 2012, Windows 8 y Windows RT.

Las tarjetas inteligentes y sus números de identificación personal (PIN) son un método rentable, confiable y cada vez más popular para autenticación de dos factores. Con los controles adecuados implementados, un usuario debe contar con la tarjeta inteligente y conocer el PIN para obtener acceso a los recursos de red. El requisito de dos factores reduce considerablemente la probabilidad de acceso no autorizado a la red de una organización. Las tarjetas inteligentes ofrecen un control de la seguridad especialmente eficaz para:

  • autenticación en escenarios como el acceso remoto

  • integridad de los datos en escenarios como la firma de documentos

  • confidencialidad de los datos en escenarios que requieren cifrado.

Su uso en otros escenarios, por ejemplo, como método de acceso seguro a aplicaciones de alto valor, probablemente aumente a medida que las organizaciones implementen una nueva generación de aplicaciones seguras.

Se han realizado los siguientes cambios en la compatibilidad con tarjetas inteligentes en Windows Server 2012, Windows 8 y Windows RT:

Las tarjetas inteligentes virtuales emulan la funcionalidad de las tarjetas inteligentes tradicionales, pero usan el chip del Módulo de plataforma segura (TPM), que está disponible en muchos equipos de organizaciones, en lugar de requerir el uso de una tarjeta inteligente física y un lector independientes. Las tarjetas inteligentes virtuales presentan diferencias técnicas, funcionales, de seguridad y de costos respecto de las tarjetas inteligentes convencionales.

Para el usuario final, la tarjeta inteligente virtual es una tarjeta inteligente que está siempre disponible en el equipo. Si un usuario necesita usar más de un equipo, se debe emitir una nueva tarjeta inteligente virtual para cada equipo. Además, un equipo compartido por varios usuarios puede hospedar varias tarjetas inteligentes virtuales, una para cada usuario.

Las tarjetas inteligentes convencionales y las tarjetas inteligentes virtuales de TPM ofrecen niveles de seguridad comparables. Las tarjetas inteligentes virtuales de TPM se pueden implementar sin costo material adicional, siempre que los empleados cuenten con equipos con TPM integrados. Para obtener más información, consulte el tema sobre la descripción y evaluación de las tarjetas inteligentes virtuales.

Para los usuarios finales, la experiencia de inicio de sesión de Windows Server 2012 y Windows 8 incluye detección mejorada que permite determinar si está instalado un lector de tarjeta inteligente y si la tarjeta inteligente o la contraseña se usaron para iniciar sesión o desbloquear el equipo la última vez. Si anteriormente no se instaló una tarjeta inteligente y el usuario selecciona el icono de inicio de sesión con tarjeta inteligente, aparece un mensaje que indica al usuario que conecte una tarjeta inteligente. Después de conectar una tarjeta, aparece el cuadro de diálogo PIN de la tarjeta inteligente. Si el usuario no quiere usar la opción de inicio de sesión que aparece de forma automática (por ejemplo, si la tarjeta inteligente no está disponible fácilmente), aparece un segundo mensaje de la interfaz de usuario que permite al usuario seleccionar diferentes opciones de inicio de sesión.

Se ha incorporado lógica de detección de lector de tarjeta inteligente para que el servicio de tarjeta inteligente se ejecute solamente cuando corresponda. En Windows Server 2012 y Windows 8 el servicio de tarjeta inteligente (scardsvr) se inicia de manera automática cuando el usuario conecta un lector de tarjeta inteligente y se detiene de manera automática cuando el usuario quita un lector de tarjeta inteligente y no hay otro lector de tarjeta inteligente conectado al equipo. En el inicio, el servicio de tarjeta inteligente se inicia automáticamente si anteriormente se había conectado un lector al equipo pero no hay un lector conectado actualmente al sistema. Si no hay ningún lector de tarjeta inteligente conectado al equipo, el servicio se cerrará automáticamente después de la última llamada de la API al servicio de tarjeta inteligente. Si nunca se había conectado antes un lector al equipo, el servicio no se iniciará de manera automática.

En Windows Server 2012, Windows 8 y Windows RT, si hay una transacción retenida en la tarjeta durante más de 5 segundos sin que se produzcan operaciones en la tarjeta, esta se restablece. Este comportamiento ha cambiado respecto a versiones anteriores.

Para obtener más información sobre este comportamiento, consulte Función SCardBeginTransaction.

La compatibilidad con tarjetas inteligentes para Windows RT incluye lo siguiente:

  • Lectores de tarjetas inteligentes

    Windows RT solo admite lectores de tarjetas inteligentes que se conectan a través de USB y admiten la especificación de dispositivos de interfaz de chip/tarjeta inteligente (CCID) USB. Estos lectores de tarjetas inteligentes deben usar el controlador de clase de lector de tarjeta inteligente de la especificación CCID USB incluido en Windows RT.

  • Tarjetas inteligentes

    Windows RT solo admite tarjetas inteligentes que admitan la Especificación de dispositivos de identidad genéricos (GIDS) o la norma Verificación de identidad personal (PIV). Windows incluye los controladores de clase para las tarjetas que se basan en estas especificaciones.

Windows 8 admite varios tipos nuevos de aplicaciones de escritorio. Los programadores que crean aplicaciones que necesitan obtener los beneficios de seguridad de las tarjetas inteligentes deben cumplir con los siguientes requisitos; de lo contrario, estas aplicaciones no pueden usar tarjetas inteligentes de forma automática para admitir su funcionalidad.

  • Para usar una tarjeta inteligente, las aplicaciones que se ejecutan en AppContainer deben incluir la funcionalidad SharedUserCertificates en el manifiesto de la aplicación. Sin esta funcionalidad, la aplicación no podrá usar una tarjeta inteligente para autenticación, firma o cifrado. Para obtener más información sobre esta funcionalidad y cómo incluirla en el manifiesto, consulte Configuración de las funcionalidades del almacén de certificados.

  • Para aplicaciones de Windows RT, la compatibilidad con tarjetas inteligentes se limita a la autenticación de clientes SSL. Para ver un ejemplo de una aplicación que demuestra el uso de tarjetas inteligentes para la autenticación de clientes SSL, consulte el tema sobre aplicaciones de la Tienda Windows para banca: tutorial de código.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft. Reservados todos los derechos.