Informazioni di riferimento tecniche sulle smart card

Il riferimento tecnico per le smart card descrive l'infrastruttura delle smart card di Windows per le smart card fisiche e il funzionamento dei componenti correlati alle smart card in Windows. Questo documento contiene anche informazioni sugli strumenti che gli sviluppatori e gli amministratori IT possono usare per risolvere i problemi, eseguire il debug e distribuire l'autenticazione avanzata basata su smart card nell'organizzazione.

Destinatari

Questo documento illustra il funzionamento dell'infrastruttura delle smart card di Windows. Per comprendere queste informazioni, è necessario avere una conoscenza di base dei concetti relativi all'infrastruttura a chiave pubblica (PKI) e alle smart card. Questo documento è destinato a:

  • Sviluppatori IT aziendali, manager e personale che stanno pianificando la distribuzione o usano smart card nella propria organizzazione.
  • Fornitori di smart card che scrivono minidriver o provider di credenziali per smart card.

Che cosa sono le smart card?

Le smart card sono dispositivi di archiviazione portatili resistenti alle manomissioni che possono migliorare la sicurezza di attività quali l'autenticazione dei client, la firma del codice, la protezione della posta elettronica e l'accesso con un account di dominio Windows.

Le smart card offrono:

  • Archiviazione resistente alle manomissioni per la protezione di chiavi private e altre forme di informazioni personali
  • Isolamento dei calcoli critici per la sicurezza che implicano l'autenticazione, le firme digitali e lo scambio di chiavi da altre parti del computer. Questi calcoli vengono eseguiti sulla smart card
  • Portabilità di credenziali e altre informazioni private tra computer al lavoro, a casa o in viaggio

Le smart card possono essere usate per accedere solo agli account di dominio, non agli account locali. Quando si usa una password per accedere in modo interattivo a un account di dominio, Windows usa il protocollo Kerberos versione 5 (v5) per l'autenticazione. Se si usa una smart card, il sistema operativo usa l'autenticazione Kerberos v5 con certificati X.509 v3.

Le smart card virtuali sono state introdotte per ridurre la necessità di una smart card fisica, del lettore di smart card e dell'amministrazione associata di tale hardware.

Warning

Windows Hello for Business e le chiavi di sicurezza FIDO2 sono metodi moderni di autenticazione a due fattori per Windows. I clienti che usano smart card virtuali sono invitati a passare a Windows Hello for Business o FIDO2. Per le nuove installazioni di Windows, è consigliabile Windows Hello for Business o le chiavi di sicurezza FIDO2.

In questo riferimento tecnico

Questo riferimento contiene gli argomenti seguenti: