Gruppenrichtlinien- und Registrierungseinstellungen für Smartcards
In diesem Artikel für IT-Experten und Entwickler von intelligenten Karte werden die einstellungen für Gruppenrichtlinie, Registrierungsschlüsseleinstellungen, einstellungen für lokale Sicherheitsrichtlinien und Richtlinien für die Delegierung von Anmeldeinformationen beschrieben, die zum Konfigurieren von Smartcards verfügbar sind.
In den folgenden Abschnitten und Tabellen sind die smarten Karte Gruppenrichtlinie Einstellungen und Registrierungsschlüssel aufgeführt, die auf Computerbasis festgelegt werden können. Wenn Sie Domain Gruppenrichtlinie Objects (GPOs) verwenden, können Sie Gruppenrichtlinie Einstellungen bearbeiten und auf lokale Computer oder Domänencomputer anwenden.
-
Einstellungen für primäre Gruppenrichtlinie für Smartcards
- Zulassen von Zertifikaten ohne Zertifikatsattribut für erweiterte Schlüsselverwendung
- Zulassen der Verwendung von ECC-Zertifikaten für die Anmeldung und Authentifizierung
- Anzeige des Bildschirms "Integriertes Entsperren" zum Zeitpunkt der Anmeldung zulassen
- Signaturschlüssel zulassen, die für die Anmeldung gültig sind
- Zeit ungültige Zertifikate zulassen
- Benutzernamenhinweis zulassen
- Konfigurieren des sauber stammzertifikats
- Zeichenfolge anzeigen, wenn smarte Karte blockiert ist
- Filtern doppelter Anmeldezertifikate
- Erzwingen des Lesens aller Zertifikate aus dem smarten Karte
- Benachrichtigen des Benutzers über die erfolgreiche Installation des Smart Karte-Treibers
- Verhindern, dass Nur-Text-PINs vom Anmeldeinformations-Manager zurückgegeben werden
- Umkehren des in einem Zertifikat gespeicherten Antragstellernamens bei der Anzeige
- Aktivieren der Zertifikatweitergabe über intelligente Karte
- Aktivieren der Stammzertifikatweitergabe über smarte Karte
- Aktivieren des Smartcard-Plug & Play-Diensts
- Basis-CSP- und Smartcard-KSP-Registrierungsschlüssel
- CRL-Überprüfung von Registrierungsschlüsseln
- Zusätzliche Einstellungen für intelligente Karte Gruppenrichtlinie und Registrierungsschlüssel
Einstellungen für primäre Gruppenrichtlinie für Smartcards
Die folgenden Einstellungen für intelligente Karte Gruppenrichtlinie befinden sich unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Smartcard.
Die Registrierungsschlüssel befinden sich an den folgenden Speicherorten:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp
Hinweis
Registrierungsinformationen für smarte Karte-Leser sind in HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\Readersenthalten.
Smart Karte Registrierungsinformationen sind in HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\SmartCardsenthalten.
In der folgenden Tabelle sind die Standardwerte für diese GPO-Einstellungen aufgeführt. Variationen sind in den Richtlinienbeschreibungen in diesem Artikel dokumentiert.
| Servertyp oder GPO | Standardwert |
|---|---|
| Standarddomänenrichtlinie | Nicht konfiguriert |
| Standarddomänencontroller-Richtlinie | Nicht konfiguriert |
| Standardeinstellungen für eigenständige Server | Nicht konfiguriert |
| Effektive Standardeinstellungen für Domänencontroller | Deaktiviert |
| Effektive Standardeinstellungen für Mitgliedsserver | Deaktiviert |
| Effektive Standardeinstellungen für Clientcomputer | Deaktiviert |
Zulassen von Zertifikaten ohne Zertifikatsattribut für erweiterte Schlüsselverwendung
Sie können diese Richtlinieneinstellung verwenden, um die Verwendung von Zertifikaten ohne festgelegte erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für die Anmeldung zuzulassen.
Hinweis
Das Zertifikatsattribut für erweiterte Schlüsselverwendung wird auch als erweiterte Schlüsselverwendung bezeichnet.
In Versionen von Windows vor Windows Vista erfordern intelligente Karte Zertifikate, die für die Anmeldung verwendet werden, eine EKU-Erweiterung mit einem Smart Karte Anmeldeobjektbezeichner. Diese Richtlinieneinstellung kann verwendet werden, um diese Einschränkung zu ändern.
Wenn diese Richtlinieneinstellung aktiviert ist, können Zertifikate mit den folgenden Attributen auch für die Anmeldung mit einem intelligenten Karte verwendet werden:
- Zertifikate ohne EKU
- Zertifikate mit einer allzweck-EKU
- Zertifikate mit einer Clientauthentifizierungs-EKU
Wenn diese Richtlinieneinstellung nicht aktiviert ist, können nur Zertifikate verwendet werden, die den Smart Karte Anmeldeobjektbezeichner enthalten, um sich mit einer intelligenten Karte anzumelden.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | AllowCertificatesWithNoEKU |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine |
Zulassen der Verwendung von ECC-Zertifikaten für die Anmeldung und Authentifizierung
Sie können diese Richtlinieneinstellung verwenden, um zu steuern, ob ECC-Zertifikate (Elliptic Curve Cryptography) auf einem intelligenten Karte für die Anmeldung bei einer Domäne verwendet werden können.
Wenn diese Einstellung aktiviert ist, können ECC-Zertifikate auf einem smarten Karte verwendet werden, um sich bei einer Domäne anzumelden.
Wenn diese Einstellung nicht aktiviert ist, können ECC-Zertifikate auf einem intelligenten Karte nicht für die Anmeldung bei einer Domäne verwendet werden.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | EnumerateECCCerts |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine |
| Hinweise und Ressourcen | Diese Richtlinieneinstellung wirkt sich nur auf die Möglichkeit eines Benutzers aus, sich bei einer Domäne anzumelden. ECC-Zertifikate auf einem intelligenten Karte, die für andere Anwendungen verwendet werden, z. B. dokumentsignieren, sind von dieser Richtlinieneinstellung nicht betroffen. Wenn Sie einen ECDSA-Schlüssel für die Anmeldung verwenden, müssen Sie auch über einen zugeordneten ECDH-Schlüssel verfügen, um die Anmeldung zu ermöglichen, wenn Sie nicht mit dem Netzwerk verbunden sind. |
Anzeige des Bildschirms "Integriertes Entsperren" zum Zeitpunkt der Anmeldung zulassen
Sie können diese Richtlinieneinstellung verwenden, um zu bestimmen, ob die integrierte Funktion zum Aufheben der Blockierung auf der Anmeldebenutzeroberfläche verfügbar ist. Das Feature wurde als Standardfeature im Credential Security Support Provider in Windows Vista eingeführt.
Wenn diese Einstellung aktiviert ist, ist die integrierte Funktion zum Aufheben der Blockierung verfügbar.
Wenn diese Einstellung nicht aktiviert ist, ist das Feature nicht verfügbar.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | AllowIntegratedUnblock |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine |
| Hinweise und Ressourcen | Um die integrierte Funktion zum Entsperren zu verwenden, muss die intelligente Karte es unterstützen. Wenden Sie sich an den Hardwarehersteller, um zu überprüfen, ob die intelligente Karte dieses Feature unterstützt. Sie können eine benutzerdefinierte Meldung erstellen, die dem Benutzer angezeigt wird, wenn die intelligente Karte blockiert wird, indem Sie die Richtlinieneinstellung Zeichenfolge anzeigen, wenn smarte Karte blockiert wird. |
Signaturschlüssel zulassen, die für die Anmeldung gültig sind
Sie können diese Richtlinieneinstellung verwenden, um zuzulassen, dass schlüsselbasierte Signaturzertifikate aufgelistet und für die Anmeldung verfügbar sind.
Wenn diese Einstellung aktiviert ist, werden alle Zertifikate, die auf dem smarten Karte mit einem reinen Signaturschlüssel verfügbar sind, auf dem Anmeldebildschirm aufgeführt.
Wenn diese Einstellung nicht aktiviert ist, werden zertifikate, die auf dem smarten Karte mit einem reinen Signaturschlüssel verfügbar sind, nicht auf dem Anmeldebildschirm aufgeführt.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | AllowSignatureOnlyKeys |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine |
Zeit ungültige Zertifikate zulassen
Sie können diese Richtlinieneinstellung verwenden, um zuzulassen, dass abgelaufene oder noch nicht gültige Zertifikate für die Anmeldung angezeigt werden.
Hinweis
Vor Windows Vista mussten Zertifikate eine gültige Uhrzeit enthalten und nicht ablaufen. Damit ein Zertifikat verwendet werden kann, muss es vom Domänencontroller akzeptiert werden. Diese Richtlinieneinstellung steuert nur, welche Zertifikate auf dem Clientcomputer angezeigt werden.
Wenn diese Einstellung aktiviert ist, werden Zertifikate auf dem Anmeldebildschirm angezeigt, unabhängig davon, ob sie eine ungültige Zeit haben oder ihre Gültigkeitsdauer abgelaufen ist.
Wenn diese Richtlinieneinstellung nicht aktiviert ist, werden abgelaufene oder noch ungültige Zertifikate nicht auf dem Anmeldebildschirm aufgeführt.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | AllowTimeInvalidCertificates |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine |
Benutzernamenhinweis zulassen
Sie können diese Richtlinieneinstellung verwenden, um zu bestimmen, ob während der Anmeldung ein optionales Feld angezeigt wird, und stellt einen nachfolgenden Prozess zur Erhöhung bereit, bei dem Benutzer ihren Benutzernamen oder Benutzernamen und ihre Domäne eingeben können, wodurch dem Benutzer ein Zertifikat zugeordnet wird.
Wenn diese Richtlinieneinstellung aktiviert ist, wird benutzern ein optionales Feld angezeigt, in dem sie ihren Benutzernamen oder Benutzernamen und ihre Domäne eingeben können.
Wenn diese Richtlinieneinstellung nicht aktiviert ist, wird benutzern dieses optionale Feld nicht angezeigt.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | X509HintsNeeded |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine |
Konfigurieren des sauber des Stammzertifikats
Sie können diese Richtlinieneinstellung verwenden, um das Bereinigungsverhalten von Stammzertifikaten zu verwalten. Zertifikate werden mithilfe einer Vertrauenskette überprüft, und der Vertrauensanker für das digitale Zertifikat ist die Stammzertifizierungsstelle (Root Certification Authority, CA). Eine Zertifizierungsstelle kann mehrere Zertifikate mit dem Stammzertifikat als oberstes Zertifikat der Struktur ausstellen. Ein privater Schlüssel wird verwendet, um andere Zertifikate zu signieren. Dadurch wird eine geerbte Vertrauenswürdigkeit für alle Zertifikate direkt unter dem Stammzertifikat erstellt.
Wenn diese Richtlinieneinstellung aktiviert ist, können Sie die folgenden Bereinigungsoptionen festlegen:
- Keine Bereinigung. Wenn sich der Benutzer abmeldet oder die intelligente Karte entfernt, bleiben die während der Sitzung verwendeten Stammzertifikate auf dem Computer erhalten.
- Bereinigen von Zertifikaten beim Entfernen von smarten Karte. Wenn die intelligente Karte entfernt wird, werden die Stammzertifikate entfernt.
- Bereinigen von Zertifikaten bei der Abmeldung. Wenn sich der Benutzer von Windows abmeldet, werden die Stammzertifikate entfernt.
Wenn diese Richtlinieneinstellung nicht aktiviert ist, werden Stammzertifikate automatisch entfernt, wenn sich der Benutzer von Windows abmeldet.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | RootCertificateCleanupOption |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine |
Zeichenfolge anzeigen, wenn smarte Karte blockiert ist
Sie können diese Richtlinieneinstellung verwenden, um die Standardmeldung zu ändern, die einem Benutzer angezeigt wird, wenn seine intelligente Karte blockiert wird.
Wenn diese Richtlinieneinstellung aktiviert ist, können Sie die angezeigte Meldung erstellen und verwalten, die dem Benutzer angezeigt wird, wenn eine intelligente Karte blockiert wird.
Wenn diese Richtlinieneinstellung nicht aktiviert ist (und die integrierte Funktion zum Aufheben der Blockierung ebenfalls aktiviert ist), wird dem Benutzer die Standardmeldung des Systems angezeigt, wenn die intelligente Karte blockiert wird.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | IntegratedUnblockPromptString |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Diese Richtlinieneinstellung ist nur wirksam, wenn der Bildschirm Integriertes Entsperren zulassen zum Zeitpunkt der Anmelderichtlinie angezeigt wird aktiviert ist. |
Filtern doppelter Anmeldezertifikate
Sie können diese Richtlinieneinstellung verwenden, um zu konfigurieren, welche gültigen Anmeldezertifikate angezeigt werden.
Hinweis
Während des Zertifikaterneuerungszeitraums können die intelligenten Karte eines Benutzers mehrere gültige Anmeldezertifikate aus derselben Zertifikatvorlage ausgestellt haben, was zu Verwirrung darüber führen kann, welches Zertifikat ausgewählt werden soll. Dieses Verhalten kann auftreten, wenn ein Zertifikat erneuert wird und das alte Zertifikat noch nicht abgelaufen ist.
Wenn zwei Zertifikate von derselben Vorlage mit derselben Hauptversion ausgestellt werden und für denselben Benutzer gelten (dies wird durch den UPN bestimmt), werden sie als identisch festgelegt.
Wenn diese Richtlinieneinstellung aktiviert ist, wird gefiltert, sodass der Benutzer nur aus den aktuell gültigen Zertifikaten auswählen kann.
Wenn diese Richtlinieneinstellung nicht aktiviert ist, werden dem Benutzer alle Zertifikate angezeigt.
Diese Richtlinieneinstellung wird auf den Computer angewendet, nachdem die Richtlinieneinstellung Zeit ungültige Zertifikate zulassen angewendet wurde.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | FilterDuplicateCerts |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine |
| Hinweise und Ressourcen | Wenn zwei oder mehr der gleichen Zertifikate auf einem smarten Karte vorhanden sind und diese Richtlinieneinstellung aktiviert ist, wird das Zertifikat mit der weitesten Ablaufzeit angezeigt. |
Erzwingen des Lesens aller Zertifikate aus dem smarten Karte
Sie können diese Richtlinieneinstellung verwenden, um zu verwalten, wie Windows alle Zertifikate aus dem smarten Karte für die Anmeldung liest. Während der Anmeldung liest Windows nur das Standardzertifikat aus dem smarten Karte, es sei denn, es unterstützt den Abruf aller Zertifikate in einem einzigen Aufruf. Diese Richtlinieneinstellung zwingt Windows, alle Zertifikate aus dem smarten Karte zu lesen.
Wenn diese Richtlinieneinstellung aktiviert ist, versucht Windows, alle Zertifikate aus dem smarten Karte zu lesen, unabhängig vom CSP-Featuresatz.
Wenn diese Richtlinie nicht aktiviert ist, versucht Windows, nur das Standardzertifikat von Smartcards zu lesen, die nicht das Abrufen aller Zertifikate in einem einzigen Aufruf unterstützen. Andere Zertifikate als die Standardeinstellung sind für die Anmeldung nicht verfügbar.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | ForceReadingAllCertificates |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine Wichtig: Das Aktivieren dieser Richtlinieneinstellung kann sich in bestimmten Situationen negativ auf die Leistung während des Anmeldevorgangs auswirken. |
| Hinweise und Ressourcen | Wenden Sie sich an den Anbieter von smart Karte, um zu ermitteln, ob Ihr smarter Karte und der zugehörige CSP das erforderliche Verhalten unterstützen. |
Benachrichtigen des Benutzers über die erfolgreiche Installation des Smart Karte-Treibers
Sie können diese Richtlinieneinstellung verwenden, um zu steuern, ob dem Benutzer eine Bestätigungsmeldung angezeigt wird, wenn ein Smart Karte Gerätetreiber installiert wird.
Wenn diese Richtlinieneinstellung aktiviert ist, wird dem Benutzer eine Bestätigungsmeldung angezeigt, wenn ein Smart Karte Gerätetreiber installiert ist.
Wenn diese Einstellung nicht aktiviert ist, wird dem Benutzer keine Smart Karte Gerätetreiberinstallationsmeldung angezeigt.
| -- | -- |
|---|---|
| Registrierungsschlüssel | ScPnPNotification |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine |
| Hinweise und Ressourcen | Diese Richtlinieneinstellung gilt nur für Intelligente Karte Treiber, die den WHQL-Testprozess (Windows Hardware Quality Labs) bestanden haben. |
Verhindern, dass Nur-Text-PINs vom Anmeldeinformations-Manager zurückgegeben werden
Sie können diese Richtlinieneinstellung verwenden, um zu verhindern, dass der Anmeldeinformations-Manager Nur-Text-PINs zurückgibt.
Hinweis
Der Anmeldeinformations-Manager wird vom Benutzer auf dem lokalen Computer gesteuert und speichert Anmeldeinformationen von unterstützten Browsern und Windows-Anwendungen. Anmeldeinformationen werden in speziell verschlüsselten Ordnern auf dem Computer unter dem Profil des Benutzers gespeichert.
Wenn diese Richtlinieneinstellung aktiviert ist, gibt der Anmeldeinformations-Manager keine Nur-Text-PIN zurück.
Wenn diese Einstellung nicht aktiviert ist, kann der Anmeldeinformations-Manager Nur-Text-PINs zurückgeben.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | DisallowPlaintextPin |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine |
| Hinweise und Ressourcen | Wenn diese Richtlinieneinstellung aktiviert ist, funktionieren einige Smartcards möglicherweise nicht auf Computern, auf denen Windows ausgeführt wird. Wenden Sie sich an den Hersteller der intelligenten Karte, um zu ermitteln, ob diese Richtlinieneinstellung aktiviert werden soll. |
Umkehren des in einem Zertifikat gespeicherten Antragstellernamens bei der Anzeige
Sie können diese Richtlinieneinstellung verwenden, um zu steuern, wie der Antragstellername während der Anmeldung angezeigt wird.
Hinweis
Damit Benutzer ein Zertifikat von einem anderen unterscheiden können, werden standardmäßig der Benutzerprinzipalname (User Principal Name, UPN) und der allgemeine Name angezeigt. Wenn diese Einstellung beispielsweise aktiviert ist und der Zertifikatantragsteller CN=User1, OU=Users, DN=example, DN=com und der UPN ist user1@example.com, wird User1 mit user1@example.comangezeigt. Wenn der UPN nicht vorhanden ist, wird der gesamte Antragstellername angezeigt. Diese Einstellung steuert die Darstellung dieses Antragstellernamens und muss möglicherweise für Ihre organization angepasst werden.
Wenn diese Richtlinieneinstellung aktiviert ist, wird der Antragstellername während der Anmeldung umgekehrt angezeigt, als er im Zertifikat gespeichert wird.
Wenn diese Richtlinieneinstellung nicht aktiviert ist, wird der Antragstellername wie im Zertifikat gespeichert angezeigt.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | ReverseSubject |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Deaktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine |
Aktivieren der Zertifikatweitergabe über intelligente Karte
Sie können diese Richtlinieneinstellung verwenden, um die Zertifikatweitergabe zu verwalten, die auftritt, wenn eine intelligente Karte eingefügt wird.
Hinweis
Der Zertifikatweitergabedienst wird angewendet, wenn ein angemeldeter Benutzer eine intelligente Karte in einen Leser einfügt, der an den Computer angefügt ist. Diese Aktion bewirkt, dass das Zertifikat aus der intelligenten Karte gelesen wird. Die Zertifikate werden dann dem persönlichen Speicher des Benutzers hinzugefügt.
Wenn diese Richtlinieneinstellung aktiviert ist, erfolgt die Zertifikatweitergabe, wenn der Benutzer die intelligente Karte einfügt.
Wenn diese Richtlinieneinstellung deaktiviert ist, erfolgt keine Zertifikatweitergabe, und die Zertifikate sind für Anwendungen wie Outlook nicht verfügbar.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | CertPropEnabled |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Aktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Diese Richtlinieneinstellung muss aktiviert sein, damit die Einstellung Stammzertifikatweitergabe von Smart Karte aktivieren funktioniert, wenn sie aktiviert ist. |
Aktivieren der Stammzertifikatweitergabe über smarte Karte
Sie können diese Richtlinieneinstellung verwenden, um die Stammzertifikatweitergabe zu verwalten, die beim Einfügen eines intelligenten Karte erfolgt.
Hinweis
Der Zertifikatweitergabedienst wird angewendet, wenn ein angemeldeter Benutzer eine intelligente Karte in einen Leser einfügt, der an den Computer angefügt ist. Diese Aktion bewirkt, dass das Zertifikat aus der intelligenten Karte gelesen wird. Die Zertifikate werden dann dem persönlichen Speicher des Benutzers hinzugefügt.
Wenn diese Richtlinieneinstellung aktiviert ist, erfolgt die Weitergabe des Stammzertifikats, wenn der Benutzer die intelligente Karte einfügt.
Wenn diese Richtlinieneinstellung nicht aktiviert ist, erfolgt die Weitergabe des Stammzertifikats nicht, wenn der Benutzer die intelligente Karte einfügt.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | EnableRootCertificate Propagation |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Aktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Damit diese Richtlinieneinstellung funktioniert, muss auch die Richtlinieneinstellung Zertifikatweitergabe von smarten Karte aktivieren aktiviert sein. |
| Hinweise und Ressourcen |
Aktivieren des Smartcard-Plug & Play-Diensts
Sie können diese Richtlinieneinstellung verwenden, um zu steuern, ob Smartcard-Plug & Play aktiviert ist.
Hinweis
Ihre Benutzer können Smartcards von Anbietern verwenden, die ihre Treiber über Windows Update veröffentlicht haben, ohne spezielle Middleware zu benötigen. Diese Treiber werden auf die gleiche Weise heruntergeladen wie Treiber für andere Geräte in Windows. Wenn bei Windows Update kein geeigneter Treiber verfügbar ist, wird für diese Karten ein PIV-kompatibler Minitreiber verwendet, der in einer der unterstützten Versionen von Windows enthalten ist.
Wenn diese Richtlinieneinstellung aktiviert ist, versucht das System, einen Smart Karte-Gerätetreiber zu installieren, wenn zum ersten Mal eine intelligente Karte in einen intelligenten Karte-Reader eingefügt wird.
Wenn diese Richtlinieneinstellung nicht aktiviert ist, wird kein Gerätetreiber installiert, wenn eine intelligente Karte in einen Smart Karte-Leser eingefügt wird.
| Element | Beschreibung |
|---|---|
| Registrierungsschlüssel | EnableScPnP |
| Standardwerte | Keine Änderungen pro Betriebssystemversion Aktiviert und nicht konfiguriert sind gleichwertig |
| Richtlinienverwaltung | Neustartanforderung: Keine Abmeldeanforderung: Keine Richtlinienkonflikte: Keine |
| Hinweise und Ressourcen | Diese Richtlinieneinstellung gilt nur für Intelligente Karte Treiber, die den WHQL-Testprozess (Windows Hardware Quality Labs) bestanden haben. |
Basis-CSP- und Smartcard-KSP-Registrierungsschlüssel
Die folgenden Registrierungsschlüssel können für den CSP (Base Cryptography Service Provider) und den Smart Karte Key Storage Provider (KSP) konfiguriert werden. In den folgenden Tabellen sind die Schlüssel aufgeführt. Alle Schlüssel verwenden den DWORD-Typ.
Die Registrierungsschlüssel für den Basis-CSP befinden sich in der Registrierung in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider.
Die Registrierungsschlüssel für den smarten Karte KSP befinden sich in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider.
Registrierungsschlüssel für den Basis-CSP und den intelligenten Karte KSP
| Registrierungsschlüssel | Beschreibung |
|---|---|
| AllowPrivateExchangeKeyImport | Ein Wert ungleich 0 (null) ermöglicht den Import privater RSA-Austauschschlüssel (z. B. Verschlüsselung) für die Verwendung in Schlüsselarchivierungsszenarien. Standardwert: 00000000 |
| AllowPrivateSignatureKeyImport | Ein Wert ungleich Null ermöglicht den Import privater RSA-Signaturschlüssel für die Verwendung in Schlüsselarchivierungsszenarien. Standardwert: 00000000 |
| DefaultPrivateKeyLenBits | Definiert bei Bedarf die Standardlänge für private Schlüssel. Standardwert: 00000400 Standardparameter für die Schlüsselgenerierung: 1024-Bit-Schlüssel |
| RequireOnCardPrivateKeyGen | Dieser Schlüssel legt das Flag fest, das eine Karte Generierung privater Schlüssel erfordert (Standard). Wenn dieser Wert festgelegt ist, kann ein auf einem Host generierter Schlüssel in die intelligente Karte importiert werden. Dies wird für Smartcards verwendet, die keine on-Karte Schlüsselgenerierung unterstützen oder bei denen der Schlüsseltresor erforderlich ist. Standardwert: 00000000 |
| TransactionTimeoutMilliseconds | Mit Standardtimeoutwerten können Sie angeben, ob transaktionen, die eine übermäßige Zeit in Anspruch nehmen, fehlschlagen. Standardwert: 000005dc Das Standardtimeout für das Speichern von Transaktionen im smarten Karte beträgt 1,5 Sekunden. |
Zusätzliche Registrierungsschlüssel für den Smart Karte KSP:
| Registrierungsschlüssel | Beschreibung |
|---|---|
| AllowPrivateECDHEKeyImport | Mit diesem Wert können private ECDHE-Schlüssel (Ephemeral Elliptic Curve Diffie-Hellman) zur Verwendung in Schlüsselarchivierungsszenarien importiert werden. Standardwert: 00000000 |
| AllowPrivateECDSAKeyImport | Mit diesem Wert können ecdsa-Private Schlüssel (Elliptic Curve Digital Signature Algorithm) für die Verwendung in Schlüsselarchivierungsszenarien importiert werden. Standardwert: 00000000 |
CRL-Überprüfung von Registrierungsschlüsseln
In der folgenden Tabelle sind die Schlüssel und die entsprechenden Werte aufgeführt, um die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) im Schlüsselverteilungscenter (Key Distribution Center, KDC) oder client zu deaktivieren. Um die Überprüfung der Zertifikatsperrliste zu verwalten, müssen Sie Einstellungen für den KDC und den Client konfigurieren.
| Registrierungsschlüssel | Details |
|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Kdc\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
Typ = DWORD Wert = 1 |
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\Kerberos\Parameters\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
Typ = DWORD Wert = 1 |
Zusätzliche Einstellungen für intelligente Karte Gruppenrichtlinie und Registrierungsschlüssel
In einer Smart Karte-Bereitstellung können zusätzliche Gruppenrichtlinie-Einstellungen verwendet werden, um die Benutzerfreundlichkeit oder Sicherheit zu erhöhen. Zwei dieser Richtlinieneinstellungen, die eine Intelligente Karte Bereitstellung ergänzen können, sind:
- Delegierung für Computer deaktivieren
- Interaktive Anmeldung: STRG+ALT+ENTF nicht erforderlich (nicht empfohlen)
Die folgenden smart Karte-bezogenen Gruppenrichtlinie-Einstellungen befinden sich unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.
Einstellungen für lokale Sicherheitsrichtlinien
| Gruppenrichtlinie Einstellung und Registrierungsschlüssel | Standard | Beschreibung |
|---|---|---|
| Interaktive Anmeldung: Smartcard erforderlich scforceoption |
Deaktiviert | Diese Sicherheitsrichtlinieneinstellung erfordert, dass sich Benutzer mit einem intelligenten Karte bei einem Computer anmelden. Aktiviert Benutzer können sich nur mit einem intelligenten Karte am Computer anmelden. Deaktiviert Benutzer können sich mit einer beliebigen Methode beim Computer anmelden. HINWEIS: Das von Windows LAPS verwaltete lokale Konto ist bei Aktiviert von dieser Richtlinie ausgenommen. |
| Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards scremoveoption |
Diese Richtlinieneinstellung ist nicht definiert, was bedeutet, dass sie vom System als Keine Aktion behandelt wird. | Diese Einstellung bestimmt, was geschieht, wenn die intelligente Karte für einen angemeldeten Benutzer aus dem Smart Karte Reader entfernt wird. Die Optionen sind: Keine Aktion Arbeitsstation sperren: Die Arbeitsstation wird gesperrt, wenn die intelligente Karte entfernt wird, sodass Benutzer den Bereich verlassen, ihre intelligenten Karte mitnehmen und trotzdem eine geschützte Sitzung verwalten können. Abmelden erzwingen: Der Benutzer wird automatisch abgemeldet, wenn die intelligente Karte entfernt wird. Trennen, wenn eine Remotedesktopdienste-Sitzung: Durch das Entfernen des intelligenten Karte wird die Sitzung getrennt, ohne den Benutzer abmelden zu müssen. Der Benutzer kann die intelligente Karte erneut einfügen und die Sitzung später fortsetzen, oder an einem anderen Computer, der mit einem smarten Karte-Reader ausgestattet ist, ohne sich erneut anmelden zu müssen. Wenn die Sitzung lokal ist, funktioniert diese Richtlinieneinstellung identisch mit der Option Arbeitsstation sperren . |
Über die lokale Sicherheitsrichtlinie Editor (secpol.msc) können Sie Systemrichtlinien bearbeiten und anwenden, um die Delegierung von Anmeldeinformationen für lokale Computer oder Domänencomputer zu verwalten.
Die folgenden Smart Karte-bezogenen Gruppenrichtlinie-Einstellungen finden Sie unter Computerkonfiguration\Administrative Vorlagen\System\Anmeldeinformationendelegierung.
Registrierungsschlüssel befinden sich in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults.
Hinweis
In der folgenden Tabelle sind die neuen Anmeldeinformationen diejenigen, die Sie beim Ausführen einer Anwendung einfordern.
Richtlinieneinstellungen für die Anmeldeinformationsdelegierung
| Gruppenrichtlinie Einstellung und Registrierungsschlüssel | Standard | Beschreibung |
|---|---|---|
| Delegieren neuer Anmeldeinformationen zulassen AllowFreshCredentials |
Nicht konfiguriert | Diese Richtlinieneinstellung gilt: Wenn die Serverauthentifizierung über ein vertrauenswürdiges X509-Zertifikat oder kerberos-Protokoll erreicht wurde. Für Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktopdienste). Aktiviert: Sie können die Server angeben, auf denen die neuen Anmeldeinformationen des Benutzers delegiert werden können. Nicht konfiguriert: Nach ordnungsgemäßer gegenseitiger Authentifizierung ist die Delegierung neuer Anmeldeinformationen an Remotedesktopdienste zulässig, die auf einem beliebigen Computer ausgeführt werden. Deaktiviert: Die Delegierung neuer Anmeldeinformationen an einen beliebigen Computer ist nicht zulässig. Hinweis: Diese Richtlinieneinstellung kann auf einen oder mehrere Dienstprinzipalnamen (SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, auf dem die Benutzeranmeldeinformationen delegiert werden können. Ein einzelnes Wildcardzeichen ist zulässig, wenn der SPN angegeben wird, z. B.: Verwenden Sie *TERMSRV/** für remotedesktop-Sitzungshost (RD-Sitzungshost), der auf einem beliebigen Computer ausgeführt wird. Verwenden Sie TERMSRV/host.humanresources.fabrikam.com für den RD-Sitzungshost, der auf dem host.humanresources.fabrikam.com Computer ausgeführt wird. Verwenden Sie TERMSRV/*.humanresources.fabrikam.com für rd-Sitzungshosts, der auf allen Computern in .humanresources.fabrikam.com |
| Delegieren neuer Anmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen AllowFreshCredentialsWhenNTLMOnly |
Nicht konfiguriert | Diese Richtlinieneinstellung gilt: Wenn die Serverauthentifizierung mithilfe von NTLM erreicht wurde. Für Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktop). Aktiviert: Sie können die Server angeben, auf denen die neuen Anmeldeinformationen des Benutzers delegiert werden können. Nicht konfiguriert: Nach ordnungsgemäßer gegenseitiger Authentifizierung ist die Delegierung neuer Anmeldeinformationen an den RD-Sitzungshost zulässig, der auf einem beliebigen Computer (TERMSRV/*) ausgeführt wird. Deaktiviert: Die Delegierung neuer Anmeldeinformationen ist auf keinem Computer zulässig. Hinweis: Diese Richtlinieneinstellung kann auf einen oder mehrere SPNs festgelegt werden. Der SPN stellt den Zielserver dar, auf dem die Benutzeranmeldeinformationen delegiert werden können. Ein einzelnes Platzhalterzeichen (*) ist zulässig, wenn der SPN angegeben wird. Beispiele finden Sie in der Beschreibung der Richtlinieneinstellung "Delegieren neuer Anmeldeinformationen zulassen ". |
| Delegieren neuer Anmeldeinformationen verweigern DenyFreshCredentials |
Nicht konfiguriert | Diese Richtlinieneinstellung gilt für Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktop). Aktiviert: Sie können die Server angeben, auf denen die neuen Anmeldeinformationen des Benutzers nicht delegiert werden können. Deaktiviert oder Nicht konfiguriert: Ein Server ist nicht angegeben. Hinweis: Diese Richtlinieneinstellung kann auf einen oder mehrere SPNs festgelegt werden. Der SPN stellt den Zielserver dar, auf dem die Benutzeranmeldeinformationen nicht delegiert werden können. Ein einzelnes Platzhalterzeichen (*) ist zulässig, wenn der SPN angegeben wird. Beispiele finden Sie in der Richtlinieneinstellung "Delegieren neuer Anmeldeinformationen zulassen". |
Wenn Sie Remotedesktopdienste mit smarter Karte Anmeldung verwenden, können Sie standard- und gespeicherte Anmeldeinformationen nicht delegieren. Die Registrierungsschlüssel in der folgenden Tabelle, die sich unter HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaultsbefinden, und die entsprechenden Gruppenrichtlinie Einstellungen werden ignoriert.
| Registrierungsschlüssel | Entsprechende Gruppenrichtlinie Einstellung |
|---|---|
| AllowDefaultCredentials | Delegieren von Standardanmeldeinformationen zulassen |
| AllowDefaultCredentialsWhenNTLMOnly | Delegieren von Standardanmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen |
| AllowSavedCredentials | Delegieren gespeicherter Anmeldeinformationen zulassen |
| AllowSavedCredentialsWhenNTLMOnly | Delegieren gespeicherter Anmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen |