Как создать виртуальную смарт-карту в системе Windows 8

smartcards

Настройка модуля TPM

Системы Windows 8 типа Enterprise и Pro поддерживают возможность использования Virtual Smart Cards. Эти издания включают в себя функцию BitLocker (шифрование дисков), которая используется для создания смарт-карт. Также потребуется ПК, который оснащен модулем TPM. Проверить наличие модуля, можно в Диспетчере устройств (раздел Устройство безопасности — Trusted Platform Module).

Если модуль имеется, можно приступать к его активации. Открываем Панель управления – функция BitLocker – Администрирование платформенного модуля. Нажимаем клавишу «Действие», и выбираем «Подготовить TPM». Затем потребуется перезагрузка компьютера. Когда компьютер загрузится, вместе с ним запустится текстовое окно, в нем потребуется подтверждение активации модуля. Сначала откроется заголовок TPM configuration change was required to State – типа Enable & Owner Install. Вам необходимо подтвердить выбор кнопкой «Execute». После этого подключаем к ПК флэшку и на нее сохраняем пароль.

Создание смарт-карты и сертификата

Чтобы правильно установить все настройки, нужно зайти в Панель Управления, выбрать BitLocker , а затем Администрирование модуля. Пункты меню этого раздела должны подсвечиваться черным, а стрелки действий зеленым. Это будет означать, что модуль запущен и готов к работе.  Можно приступить к созданию карты. Нужно открыть командную строку (запуск от Администратора) и вводим команду:
tpmvscmgr.exe create / name tpmvsc / pin default / adminkey random / generate

    Когда карта будет создана, на экране отобразится стандартный ПИН-КОД. Проверить наличие новой карты можно в Диспетчере (карта будет отображаться как tpmvsc). Для использования виртуальной смарт-карты потребуется сертификат. Чтобы использовать его без пароля и заходить в компьютер, используя ПИН-КОД, можно использовать сертификат, который не подключен к домену корпоративной сети. Сделать это можно, с помощью утилиты EIDAuthenticate (версии утилиты зависит  от разрядности (64 бит, 84 бит) системы). После установки программы, необходимо открыть «Панель управления» – раздел «Система и безопасность» -  параметр «Smart Card Logon». Там открываем настройки учетных данных и запускаем процесс создания сертификата. По мере создания сертификата потребуется один раз указать ПИН-код и пароль от учетной записи. Сертификат будет привязан к смарт-карте и учетной записи. Затем изменяем ПИН-код и устанавливаем запрет на вход в ПК без использования карты (Ctrl+Alt+Del в меню управления сертификата, вводим пароль от записи, старый и новый ПИН-коды). Чтобы установить запрет, нужно изменить политику в настройках безопасности. Для этого запускаем раздел «Интерактивный вход в систему» — ставим «требовать смарт-карту». После этого вход в систему Windows 8 будет возможен только при использовании виртуальной смарт-карты. Вводить пароль от учетной записи системы больше не нужно. Таким образом, можно также установить Windows 8 на USB диск внешнего типа.

Официальный метод создания «переносной системы» поддерживается компанией Microsoft. При этом смарт-карта работает совместимо с модулем TPM определенного ПК, и система запускается только на нем. Для защиты данных, можно использовать «шифровщик» данных на системном диске (BitLocker).

И на последок последнее видео от Microsoft