Im Rahmen unseres Projekts einer einfachen und sicheren 2-Faktor Authentifizierung bei unserem Kunden, der für die Automobilindustrie arbeitet, wollten wir eine Alternative Authentifizierungsmethode zu PhoneFactor anbieten, die zum einen noch etwas komfortabler ist und zum anderen auch funktioniert, wenn kein Mobilempfang besteht. Virtuelle SmartCards in Windows 8 und Windows 10 bieten eine sichere zertifikatsbasierte 2-Faktor Authentifizierungsmethode. In diesem How-To zeigen wir Ihnen wie es funktioniert!
Die Lösung basiert auf virtuellen SmartCards, welche in Windows 8 eingeführt wurden. In Windows 10 wurden die Möglichkeiten vor allem im Managementbereich noch einmal erweitert! Bisher waren SmartCards großen Firmeninstallationen vorbehalten. Die Rechner brauchten extra Lesegeräte und die Mitarbeiter eine eigene Karte mitführen. Diese Karten mussten zentral verwaltet und umständlich gesperrt werden, wenn sie verlorengingen oder der Mitarbeiter ausscheidet. Die Verwaltung war damit komplex, die Einrichtung und der Unterhalt teuer.
Bei aConTech haben wir nun das Verfahren auf Basis virtueller SmartCards getestet und erfolgreich bei unseren Kunden eingeführt. Diese Lösung ist im Vergleich zu herkömmlichen SmartCard Lösungen extrem günstig und einfach zu warten.
Virtuelle SmartCards basieren auf den in den meisten heutigen Business Rechnern integrierten Trusted-Platform-Module (TPM) Chip. Auf diesem wird ein Teil der SmartCard Logon Zertifikate, die sich normalerweise auf den SmartCards befinden, verschlüsselt gespeichert und sind Rechnerabhängig. Die dort abgelegten Zertifikate können von keiner Anwendung aus dem TPM-Chip extrahiert werden. Die Anmeldung ist dabei nur im Besitz des Geräts mit dem TPM-Chip selbst und einem PIN möglich.
Will der Nutzer sich anmelden, steht im ab sofort ein neues in Windows 8 und Windows 10 neu eingeführtes Anmeldesymbol zur Verfügung, das die Verfügbarkeit einer virtuellen SmartCard anzeigt (siehe Abbildung 1).
Abbildung 1: Virtuelle SmartCard in Windows 8 und Windows 10
Die Anmeldung funktioniert sowohl beim Windows Logon, als auch bei anderen SmartCard Logons, wie einer VPN-Verbindung über SSTP mit einem RAS-Server.
In diesem Fall wurde Windows Server 2012 als RAS-Server verwendet und mit zwei IP-Adressen ausgestattet, damit auch der PhoneFactor Login über den gleichen Network Policy Server (NPS) unterstützt wird.
Zusätzlich zur VPN-Infrastruktur ist eine Public Key Infrastruktur (PKI) erforderlich, um die User Logon und evtl. Computer Zertifikate auszustellen. Die Zertifikatsinfrastruktur sollte in zwei Ebenen erfolgen, um abgesichert zu sein. Die Root Zertifizierungsstelle wird im laufenden Betrieb offline geschaltet.
Für das Management der Zertifikate sollte sich ein intelligentes Konzept ausgedacht werden, insbesondere in Kombination mit Online Respondern, um Zertifikate sicher ausstellen und auch sperren zu können, sollten sie verloren gehen.
Gleichzeitig sollte man sich eine effektive Strategie zum Verwalten der virtuellen SmartCards überlegen.
Virtuelle SmartCards können derzeit in Windows 8 noch nicht zentral verwaltet werden. In Windows 10 und Server 2016 stehen neue Managementfunktionen für die Verwaltung virtueller SmartCards zur Verfügung. Eine Reihe von Drittherstellern bietet erweiterte Managementtools an. Lokal werden SmartCards mit dem Tool tpmvscmgr.exe über die Kommandozeile eingerichtet:
Abbildung 2: Das Windows 8 virtuelle SmartCard (VSC) Managementtool
Jeder Mitarbeiter erhält einen persönlichen PIN und eine PUK. Zusätzlich erhält die SmartCard einen Admin Key, um sie auch bei Verlust der PIN oder Ausscheidens des Mitarbeiters verwalten zu können.
Auf jedem TPM-Chip kann eine Vielzahl von SmartCards und Nutzerzertifikaten gespeichert werden. Bei dem Einsatz von PKI-Umgebungen ist eine ordentliche Netzwerkabsicherung und Backup des Active Directorys Pflicht. Speziell wenn auch Bitlocker über Zertifikate eingesetzt wird, könnte andernfalls ein großer Datenverlust die Folge sein. Die VSC-Lösung eignet sich hauptsächlich für Windows 8 und Windows 10 Domänen PCs. Natürlich könnte auch eine PKI über die Microsoft Azure Cloud und Azure Active Directory für Windows 10 angedacht werden.
Übrigens: in Windows 10 sind noch weitere 2-Faktor Ansätze vorstellbar! Mit Windows Hello ist es möglich weitere, sichere, biometrische Merkmale wie Iris-Erkennung, Gesichtserkennung in 3D und 3D Fingerabdrücke mit in die Authentifizierung einzubeziehen.
Sie haben Fragen zu smarten, günstigen, aber effizienten 2-Faktor Authentifizierungslösungen auf Basis von virtuellen SmartCards, Windows 8, Windows 10, Office 365 oder Microsoft Azure? Fragen Sie unsere Experten, wie Sie Ihr Geschäft mit 2-Faktorauthentifizierungslösungen weiter absichern!