¿Qué es una tarjeta inteligente de Windows?

Tarjeta inteligente de autenticación de Windows

La Referencia Técnica de la Tarjeta Inteligente describe la infraestructura de la tarjeta inteligente de Windows para las tarjetas inteligentes físicas y cómo funcionan los componentes relacionados con la tarjeta inteligente en Windows. Este documento también contiene información sobre las herramientas que los desarrolladores y administradores de tecnología de la información (TI) pueden utilizar para solucionar problemas, depurar e implementar la autenticación fuerte basada en tarjetas inteligentes en la empresa.

Este documento explica cómo funciona la infraestructura de tarjetas inteligentes de Windows. Para entender esta información, debe tener conocimientos básicos de la infraestructura de clave pública (PKI) y de los conceptos de las tarjetas inteligentes. Este documento está dirigido a:

Las tarjetas inteligentes son dispositivos de almacenamiento portátiles resistentes a la manipulación que pueden mejorar la seguridad de tareas como la autenticación de clientes, la firma de código, la seguridad del correo electrónico y el inicio de sesión con una cuenta de dominio de Windows.

Las tarjetas inteligentes sólo pueden utilizarse para iniciar sesión en cuentas de dominio, no en cuentas locales. Cuando se utiliza una contraseña para iniciar sesión de forma interactiva en una cuenta de dominio, Windows utiliza el protocolo Kerberos versión 5 (v5) para la autenticación. Si utiliza una tarjeta inteligente, el sistema operativo utiliza la autenticación Kerberos v5 con certificados X.509 v3.

Desbloqueo de tarjeta inteligente windows 10

La tarjeta inteligente rápida está habilitada por defecto en los equipos host con VDAs de Windows actualmente soportados. Para desactivar la tarjeta inteligente rápida en el lado del host -por ejemplo, con fines de diagnóstico-, establezca la configuración del registro “Desactivar redirección criptográfica” en cualquier valor distinto de cero:

Un lector de tarjetas inteligentes puede estar integrado en el dispositivo de usuario, o estar conectado por separado al dispositivo de usuario (normalmente a través de USB o Bluetooth). Se admiten los lectores de tarjetas de contacto que cumplen con la especificación USB Chip/Smart Card Interface Devices (CCID). Contienen una ranura o swipe en la que el usuario introduce la tarjeta inteligente. La norma Deutsche Kreditwirtschaft (DK) define cuatro clases de lectores de tarjetas de contacto.

Se pueden utilizar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si se utiliza la autenticación de paso, sólo se debe insertar una tarjeta inteligente cuando el usuario inicie un escritorio virtual o una aplicación. Cuando se utiliza una tarjeta inteligente dentro de una aplicación (por ejemplo, para funciones de firma digital o encriptación), puede haber avisos adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede ocurrir si se ha insertado más de una tarjeta inteligente al mismo tiempo.

Escritorio remoto utilizar la tarjeta inteligente remota

Una de las principales estrategias para asegurar las cuentas privilegiadas en los Servicios de Dominio de Active Directory parece ser la habilitación de la opción Se requiere tarjeta inteligente para el inicio de sesión interactivo en los miembros del grupo de seguridad Administradores de Dominio. Normalmente, esto requería el despliegue de tarjetas inteligentes (virtuales), pero hay una forma mucho más sencilla que actualmente se está adoptando de forma generalizada: Windows Hello for Business (WHfB).

La mera autenticación con contraseña es insuficiente. No es suficiente para las personas cuando acceden a los datos de la organización desde fuera del perímetro de la misma y no es suficiente para las cuentas privilegiadas.

La opción Smartcard es necesaria para el inicio de sesión interactivo ha formado parte de los servicios de dominio de Active Directory desde su creación. Esta opción en la ventana de Propiedades de las cuentas de usuario, requiere el uso de tarjetas inteligentes (virtuales) para poder iniciar sesión de forma interactiva. Esta opción se conoce a veces como SCRIL.

La opción también puede establecerse mediante el inicio de sesión interactivo: Requerir tarjeta inteligente en la directiva de grupo, en el nodo Configuración del equipo, Configuración de Windows, Configuración de seguridad, Políticas locales, Opciones de seguridad. De esta manera, la opción requiere el uso de tarjetas inteligentes para todas las personas que acceden a los dispositivos en el ámbito.

Tarjeta inteligente de acceso a Windows

Hola a todos, estoy tratando de configurar el acceso con tarjeta inteligente para algunos usuarios (no todos) en PCs unidos al dominio, pero me preguntaba si alguien más puede ayudar u ofrecer algún consejo, ya que estoy perdido… Entiendo que necesito configurar CA en el servidor AD y he buscado información sobre esto, pero sigo encontrando diferentes instrucciones. Parece que encuentro opiniones contradictorias sobre si esto es posible o no.

Sólo he visto esto junto con una contraseña, no sabía que se podía usar sólo la tarjeta inteligente para iniciar sesión.    ¿No sería un poco arriesgado si a alguien se le cae la tarjeta?    Sin embargo, sería un experimento interesante combinarlo con el reconocimiento facial.

No – que no hay PIN en la tarjeta.    El PIN de la SmartCard no es el mismo que el de la contraseña del usuario o incluso el de la cuenta AD, así que puedes tener una contraseña compleja y un PIN simple o lo contrario.    En tu caso quieres un PIN vacío.

Santiago Paez