Сегодняшний рассказ о возможности создания и использования виртуальных смарт-карт (Virtual Smart Cards) в Windows 8 Enterprise и Windows 8 Pro. Только эти издания Windows 8 поддерживают функцию Шифрование диска BitLocker, которая необходима для виртуальных смарт-карт в составе Windows 8.

• Проверка наличия в компьютере модуля TPM
• Инициализация модуля TPM
• Создание виртуальной смарт-карты
• Формирование сертификата
• Изменение ПИН-кода виртуальной смарт-карты
• Запрет входа без виртуальной смарт-карты

Виртуальные смарт-карты - это новая, но очень своевременная функция для Windows, учитывая, как просто посмотреть на чужой пароль от локальной учетной записи. Кто не в курсе, пусть наберет в любой поисковой системе слово mimikatz. В этом нет ничего плохого, чем чаще мы его будем набирать, тем быстрей Microsoft задумается о необходимости решить эту проблему. Если про недостатки не говорить, это не значит, что их нет. Ниже на картинке представлен результат работы этой утилиты в Windows 8.

Увеличить рисунок

Но не все так плохо и сегодня, если использовать для входа в систему виртуальную смарт-карту. В этом случае мы защищены.

Правда, и тут не без сложностей – в дополнение к Windows 8 нужен особый компьютер. Cмарт-карта, это, очень условно, всего лишь специальная микросхема, скрывающая, в том числе и ПИН-код доступа в операционную систему для локальной учетной записи. Для создания и использования виртуальной смарт-карты требуется компьютер, имеющий в своем составе модуль TPM.

Проверка наличия в компьютере модуля TPM

Итак, у нас есть Windows 8 Enterprise или Windows 8 Pro. Откроем Диспетчер устройств и убедимся, в наличии модуля TPM. В разделе Устройства безопасности находим Trusted Platform Module (модуль TPM):

Увеличить рисунок

В этом случае вы можете использовать виртуальную смарт-карту.

Инициализация модуля TPM

TPM модуль на борту, но пока не выполняет никаких действий. Изначально, в новом компьютере, он всегда отключен. Открываем: Панель управления –> Шифрование диска BitLocker - в левом нижнем углу этого окна выбираем -> Администрирование доверенного платформенного модуля.

Увеличить рисунок

В раскрывшемся окне под заголовком Действие, нажимаем Подготовить TPM. Остальные функции пока не доступны.

Увеличить рисунок

Для проведения инициализации модуля TPM система предлагает перегрузить компьютер. Перед новым стартом системы, открывается текстовое окно для подтверждения инициализации модуля TPM. Это нормальная реакция со стороны BIOS.

Возможен такой вариант: TPM configuration change was required to State: Enable & Owner Install. Сразу предлагается на выбор: Reject (Отклонить), или Execute (Выполнить). Могут быть и другие варианты подобного запроса, но смысл будет один, это просьба подтвердить запрос на инициализацию.

Выбираем Execute (Выполнить). Будьте внимательны, поскольку по умолчанию всегда предлагается Reject (Отклонить). Если операция инициализации была подтверждена, то после загрузки Windows на экране возникает такое окно:

Увеличить рисунок

Вставляем USB-накопитель и сохраняем на него пароль. На этом все. Инициализация модуля TPM завершена. Кстати, по сравнению с Windows 7 процесс инициализации модуля TPM в Windows 8 упростился. В Windows 7 была более длинная дорога c различными вопросами.

Далее открываем: Панель управления –> Шифрование диска BitLocker - в левом нижнем углу этого окна выбираем Администрирование доверенного платформенного модуля.

Увеличить рисунок

Видим, что все стрелочки у возможных действий с модулем TPM стали ярко зелеными, пункты меню черными (Enable), то есть все функции в Администрировании доверенного платформенного модуля доступны, а в разделе состояние присутствует надпись: Модуль TPM готов к использованию. Можно приступить к главному на сегодня, созданию виртуальной смарт-карты.

Создание виртуальной смарт-карты

В командной строке, запущенной с правами администратора, выполняем:

Наблюдаем ход создания.

Увеличить рисунок

По завершению этого процесса видим установленный для нас по умолчанию ПИН-код и надпись “Смарт-карта доверенного платформенного модуля создана”. Пока все просто.

В Диспетчере устройств проверяем наличие виртуальной смарт-карты (tpmvsc) в "Устройствах чтения смарт-карт".

Увеличить рисунок

На сайте Microsoft есть хороший документ: Understanding and Evaluating Virtual Smart Cards. В нем приведено полное описание использования виртуальныx смарт-карт, но только применительно к компьютерам входящим в домен корпоративной сети. Дело в том, что для последующего использования созданной карты нужен сертификат, который должен быть получен из доверенного центра в домене. Для других случаев (домашний ПК) в документации ничего нет. Непонятно, что делать, если есть желание отказаться от использования пароля от локальной учетной записи и входить на личный ПК с ПИН-кодом от виртуальной смарт-карты. Об этом как раз дальше.

Нам необходимо получить сертификат для виртуальной смарт-карты локальной учетной записи на компьютер, не включенный в домен корпоративной сети.

Формирование сертификата

Мир большой, и он не без добрых людей. Берем на сайте http://www.mysmartlogon.com/products/eidauthenticate.html, в зависимости от разрядности системы, свободно распространяемую утилиту EIDInstall_0.5.0.3_x64.exe или EIDInstall_0.5.0.3_x86.exe. Закрываем глаза на то, что в перечне совместимых с ней устройств виртуальная смарт-карта от Microsoft пока отсутствует.

Увеличить рисунок

Устанавливаем программу EIDAuthenticate и идем в Панель управления, Система и безопасность. Выбираем Smart Card Logon. В открывшемся окне указываем "Настройка нового набора учетных данных" и, выбрав Далее, формируем сертификат.

Увеличить рисунок

По дороге "Далее -> Далее" придется один раз ввести ПИН-код для карты и свой пароль от локальной учетной записи. В результате получим сертификат, привязанный к созданной виртуальной смарт-карте и к локальной учетной записи.

Увеличить рисунок

Но это еще не все. Необходимо изменить ПИН-код и запретить вход без виртуальной смарт-карты.

Изменение ПИН-кода виртуальной смарт-карты

Нажимаем Ctrl+Alt+Del. Выбираем изменить пароль. Заполняем все поля в открывшемся окне. К этому моменту Windows 8 уже знает, что для локальной учетной записи создана виртуальная смарт-карта. Вводим:

• пароль от локальной учетной записи;
• старый ПИН-код;
• новый ПИН-код (два раза).

Запрет входа без виртуальной смарт-карты

Для запрета входа без виртуальной смарт-карты изменяем одну из политик в параметрах безопасности локального компьютера. Включаем "Интерактивный вход в систему: требовать смарт-карту".

Увеличить рисунок

Кто забыл или не знает как, внимательно смотрит на картинку, на ней маршрут, где это надо сделать. И все… C этого момента только правильный ПИН-код от виртуальной смарт-карты, продолжит открывать для нас богатый внутренний мир Windows 8. Пароль от локальной учетной записи или ввод графического пароля системой больше не принимается.

Увеличить рисунок

Описанный подход работает и при установке Windows 8 на внешний USB SSD диск. В этой версии, легальная возможность создания такого “носимого” варианта операционной системы, сделана Microsoft впервые. В этом случае, виртуальная смарт-карта привязывается к модулю TPM конкретного компьютера и Windows 8 стартует только с ним.

Для полного счастья, системный диск стоит зашифровать с помощью BitLocker. И никогда никому не узнать ваших секретов!