Freigeben über


Gruppenrichtlinien- und Registrierungseinstellungen für Smartcards

In diesem Artikel für IT-Experten und Entwickler von intelligenten Karte werden die einstellungen für Gruppenrichtlinie, Registrierungsschlüsseleinstellungen, einstellungen für lokale Sicherheitsrichtlinien und Richtlinien für die Delegierung von Anmeldeinformationen beschrieben, die zum Konfigurieren von Smartcards verfügbar sind.

In den folgenden Abschnitten und Tabellen sind die smarten Karte Gruppenrichtlinie Einstellungen und Registrierungsschlüssel aufgeführt, die auf Computerbasis festgelegt werden können. Wenn Sie Domain Gruppenrichtlinie Objects (GPOs) verwenden, können Sie Gruppenrichtlinie Einstellungen bearbeiten und auf lokale Computer oder Domänencomputer anwenden.

Einstellungen für primäre Gruppenrichtlinie für Smartcards

Die folgenden Einstellungen für intelligente Karte Gruppenrichtlinie befinden sich unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Smartcard.

Die Registrierungsschlüssel befinden sich an den folgenden Speicherorten:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp

Hinweis

Registrierungsinformationen für smarte Karte-Leser sind in HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\Readersenthalten.
Smart Karte Registrierungsinformationen sind in HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\SmartCardsenthalten.

In der folgenden Tabelle sind die Standardwerte für diese GPO-Einstellungen aufgeführt. Variationen sind in den Richtlinienbeschreibungen in diesem Artikel dokumentiert.

Servertyp oder GPO Standardwert
Standarddomänenrichtlinie Nicht konfiguriert
Standarddomänencontroller-Richtlinie Nicht konfiguriert
Standardeinstellungen für eigenständige Server Nicht konfiguriert
Effektive Standardeinstellungen für Domänencontroller Deaktiviert
Effektive Standardeinstellungen für Mitgliedsserver Deaktiviert
Effektive Standardeinstellungen für Clientcomputer Deaktiviert

Zulassen von Zertifikaten ohne Zertifikatsattribut für erweiterte Schlüsselverwendung

Sie können diese Richtlinieneinstellung verwenden, um die Verwendung von Zertifikaten ohne festgelegte erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für die Anmeldung zuzulassen.

Hinweis

Das Zertifikatsattribut für erweiterte Schlüsselverwendung wird auch als erweiterte Schlüsselverwendung bezeichnet.

In Versionen von Windows vor Windows Vista erfordern intelligente Karte Zertifikate, die für die Anmeldung verwendet werden, eine EKU-Erweiterung mit einem Smart Karte Anmeldeobjektbezeichner. Diese Richtlinieneinstellung kann verwendet werden, um diese Einschränkung zu ändern.

Wenn diese Richtlinieneinstellung aktiviert ist, können Zertifikate mit den folgenden Attributen auch für die Anmeldung mit einem intelligenten Karte verwendet werden:

  • Zertifikate ohne EKU
  • Zertifikate mit einer allzweck-EKU
  • Zertifikate mit einer Clientauthentifizierungs-EKU

Wenn diese Richtlinieneinstellung nicht aktiviert ist, können nur Zertifikate verwendet werden, die den Smart Karte Anmeldeobjektbezeichner enthalten, um sich mit einer intelligenten Karte anzumelden.

Element Beschreibung
Registrierungsschlüssel AllowCertificatesWithNoEKU
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine

Zulassen der Verwendung von ECC-Zertifikaten für die Anmeldung und Authentifizierung

Sie können diese Richtlinieneinstellung verwenden, um zu steuern, ob ECC-Zertifikate (Elliptic Curve Cryptography) auf einem intelligenten Karte für die Anmeldung bei einer Domäne verwendet werden können.

Wenn diese Einstellung aktiviert ist, können ECC-Zertifikate auf einem smarten Karte verwendet werden, um sich bei einer Domäne anzumelden.

Wenn diese Einstellung nicht aktiviert ist, können ECC-Zertifikate auf einem intelligenten Karte nicht für die Anmeldung bei einer Domäne verwendet werden.

Element Beschreibung
Registrierungsschlüssel EnumerateECCCerts
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine
Hinweise und Ressourcen Diese Richtlinieneinstellung wirkt sich nur auf die Möglichkeit eines Benutzers aus, sich bei einer Domäne anzumelden. ECC-Zertifikate auf einem intelligenten Karte, die für andere Anwendungen verwendet werden, z. B. dokumentsignieren, sind von dieser Richtlinieneinstellung nicht betroffen.
Wenn Sie einen ECDSA-Schlüssel für die Anmeldung verwenden, müssen Sie auch über einen zugeordneten ECDH-Schlüssel verfügen, um die Anmeldung zu ermöglichen, wenn Sie nicht mit dem Netzwerk verbunden sind.

Anzeige des Bildschirms "Integriertes Entsperren" zum Zeitpunkt der Anmeldung zulassen

Sie können diese Richtlinieneinstellung verwenden, um zu bestimmen, ob die integrierte Funktion zum Aufheben der Blockierung auf der Anmeldebenutzeroberfläche verfügbar ist. Das Feature wurde als Standardfeature im Credential Security Support Provider in Windows Vista eingeführt.

Wenn diese Einstellung aktiviert ist, ist die integrierte Funktion zum Aufheben der Blockierung verfügbar.

Wenn diese Einstellung nicht aktiviert ist, ist das Feature nicht verfügbar.

Element Beschreibung
Registrierungsschlüssel AllowIntegratedUnblock
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine
Hinweise und Ressourcen Um die integrierte Funktion zum Entsperren zu verwenden, muss die intelligente Karte es unterstützen. Wenden Sie sich an den Hardwarehersteller, um zu überprüfen, ob die intelligente Karte dieses Feature unterstützt.
Sie können eine benutzerdefinierte Meldung erstellen, die dem Benutzer angezeigt wird, wenn die intelligente Karte blockiert wird, indem Sie die Richtlinieneinstellung Zeichenfolge anzeigen, wenn smarte Karte blockiert wird.

Signaturschlüssel zulassen, die für die Anmeldung gültig sind

Sie können diese Richtlinieneinstellung verwenden, um zuzulassen, dass schlüsselbasierte Signaturzertifikate aufgelistet und für die Anmeldung verfügbar sind.

Wenn diese Einstellung aktiviert ist, werden alle Zertifikate, die auf dem smarten Karte mit einem reinen Signaturschlüssel verfügbar sind, auf dem Anmeldebildschirm aufgeführt.

Wenn diese Einstellung nicht aktiviert ist, werden zertifikate, die auf dem smarten Karte mit einem reinen Signaturschlüssel verfügbar sind, nicht auf dem Anmeldebildschirm aufgeführt.

Element Beschreibung
Registrierungsschlüssel AllowSignatureOnlyKeys
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine

Zeit ungültige Zertifikate zulassen

Sie können diese Richtlinieneinstellung verwenden, um zuzulassen, dass abgelaufene oder noch nicht gültige Zertifikate für die Anmeldung angezeigt werden.

Hinweis

Vor Windows Vista mussten Zertifikate eine gültige Uhrzeit enthalten und nicht ablaufen. Damit ein Zertifikat verwendet werden kann, muss es vom Domänencontroller akzeptiert werden. Diese Richtlinieneinstellung steuert nur, welche Zertifikate auf dem Clientcomputer angezeigt werden.

Wenn diese Einstellung aktiviert ist, werden Zertifikate auf dem Anmeldebildschirm angezeigt, unabhängig davon, ob sie eine ungültige Zeit haben oder ihre Gültigkeitsdauer abgelaufen ist.

Wenn diese Richtlinieneinstellung nicht aktiviert ist, werden abgelaufene oder noch ungültige Zertifikate nicht auf dem Anmeldebildschirm aufgeführt.

Element Beschreibung
Registrierungsschlüssel AllowTimeInvalidCertificates
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine

Benutzernamenhinweis zulassen

Sie können diese Richtlinieneinstellung verwenden, um zu bestimmen, ob während der Anmeldung ein optionales Feld angezeigt wird, und stellt einen nachfolgenden Prozess zur Erhöhung bereit, bei dem Benutzer ihren Benutzernamen oder Benutzernamen und ihre Domäne eingeben können, wodurch dem Benutzer ein Zertifikat zugeordnet wird.

Wenn diese Richtlinieneinstellung aktiviert ist, wird benutzern ein optionales Feld angezeigt, in dem sie ihren Benutzernamen oder Benutzernamen und ihre Domäne eingeben können.

Wenn diese Richtlinieneinstellung nicht aktiviert ist, wird benutzern dieses optionale Feld nicht angezeigt.

Element Beschreibung
Registrierungsschlüssel X509HintsNeeded
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine

Konfigurieren des sauber des Stammzertifikats

Sie können diese Richtlinieneinstellung verwenden, um das Bereinigungsverhalten von Stammzertifikaten zu verwalten. Zertifikate werden mithilfe einer Vertrauenskette überprüft, und der Vertrauensanker für das digitale Zertifikat ist die Stammzertifizierungsstelle (Root Certification Authority, CA). Eine Zertifizierungsstelle kann mehrere Zertifikate mit dem Stammzertifikat als oberstes Zertifikat der Struktur ausstellen. Ein privater Schlüssel wird verwendet, um andere Zertifikate zu signieren. Dadurch wird eine geerbte Vertrauenswürdigkeit für alle Zertifikate direkt unter dem Stammzertifikat erstellt.

Wenn diese Richtlinieneinstellung aktiviert ist, können Sie die folgenden Bereinigungsoptionen festlegen:

  • Keine Bereinigung. Wenn sich der Benutzer abmeldet oder die intelligente Karte entfernt, bleiben die während der Sitzung verwendeten Stammzertifikate auf dem Computer erhalten.
  • Bereinigen von Zertifikaten beim Entfernen von smarten Karte. Wenn die intelligente Karte entfernt wird, werden die Stammzertifikate entfernt.
  • Bereinigen von Zertifikaten bei der Abmeldung. Wenn sich der Benutzer von Windows abmeldet, werden die Stammzertifikate entfernt.

Wenn diese Richtlinieneinstellung nicht aktiviert ist, werden Stammzertifikate automatisch entfernt, wenn sich der Benutzer von Windows abmeldet.

Element Beschreibung
Registrierungsschlüssel RootCertificateCleanupOption
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine

Zeichenfolge anzeigen, wenn smarte Karte blockiert ist

Sie können diese Richtlinieneinstellung verwenden, um die Standardmeldung zu ändern, die einem Benutzer angezeigt wird, wenn seine intelligente Karte blockiert wird.

Wenn diese Richtlinieneinstellung aktiviert ist, können Sie die angezeigte Meldung erstellen und verwalten, die dem Benutzer angezeigt wird, wenn eine intelligente Karte blockiert wird.

Wenn diese Richtlinieneinstellung nicht aktiviert ist (und die integrierte Funktion zum Aufheben der Blockierung ebenfalls aktiviert ist), wird dem Benutzer die Standardmeldung des Systems angezeigt, wenn die intelligente Karte blockiert wird.

Element Beschreibung
Registrierungsschlüssel IntegratedUnblockPromptString
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Diese Richtlinieneinstellung ist nur wirksam, wenn der Bildschirm Integriertes Entsperren zulassen zum Zeitpunkt der Anmelderichtlinie angezeigt wird aktiviert ist.

Filtern doppelter Anmeldezertifikate

Sie können diese Richtlinieneinstellung verwenden, um zu konfigurieren, welche gültigen Anmeldezertifikate angezeigt werden.

Hinweis

Während des Zertifikaterneuerungszeitraums können die intelligenten Karte eines Benutzers mehrere gültige Anmeldezertifikate aus derselben Zertifikatvorlage ausgestellt haben, was zu Verwirrung darüber führen kann, welches Zertifikat ausgewählt werden soll. Dieses Verhalten kann auftreten, wenn ein Zertifikat erneuert wird und das alte Zertifikat noch nicht abgelaufen ist.

Wenn zwei Zertifikate von derselben Vorlage mit derselben Hauptversion ausgestellt werden und für denselben Benutzer gelten (dies wird durch den UPN bestimmt), werden sie als identisch festgelegt.

Wenn diese Richtlinieneinstellung aktiviert ist, wird gefiltert, sodass der Benutzer nur aus den aktuell gültigen Zertifikaten auswählen kann.

Wenn diese Richtlinieneinstellung nicht aktiviert ist, werden dem Benutzer alle Zertifikate angezeigt.

Diese Richtlinieneinstellung wird auf den Computer angewendet, nachdem die Richtlinieneinstellung Zeit ungültige Zertifikate zulassen angewendet wurde.

Element Beschreibung
Registrierungsschlüssel FilterDuplicateCerts
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine
Hinweise und Ressourcen Wenn zwei oder mehr der gleichen Zertifikate auf einem smarten Karte vorhanden sind und diese Richtlinieneinstellung aktiviert ist, wird das Zertifikat mit der weitesten Ablaufzeit angezeigt.

Erzwingen des Lesens aller Zertifikate aus dem smarten Karte

Sie können diese Richtlinieneinstellung verwenden, um zu verwalten, wie Windows alle Zertifikate aus dem smarten Karte für die Anmeldung liest. Während der Anmeldung liest Windows nur das Standardzertifikat aus dem smarten Karte, es sei denn, es unterstützt den Abruf aller Zertifikate in einem einzigen Aufruf. Diese Richtlinieneinstellung zwingt Windows, alle Zertifikate aus dem smarten Karte zu lesen.

Wenn diese Richtlinieneinstellung aktiviert ist, versucht Windows, alle Zertifikate aus dem smarten Karte zu lesen, unabhängig vom CSP-Featuresatz.

Wenn diese Richtlinie nicht aktiviert ist, versucht Windows, nur das Standardzertifikat von Smartcards zu lesen, die nicht das Abrufen aller Zertifikate in einem einzigen Aufruf unterstützen. Andere Zertifikate als die Standardeinstellung sind für die Anmeldung nicht verfügbar.

Element Beschreibung
Registrierungsschlüssel ForceReadingAllCertificates
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine

Wichtig: Das Aktivieren dieser Richtlinieneinstellung kann sich in bestimmten Situationen negativ auf die Leistung während des Anmeldevorgangs auswirken.
Hinweise und Ressourcen Wenden Sie sich an den Anbieter von smart Karte, um zu ermitteln, ob Ihr smarter Karte und der zugehörige CSP das erforderliche Verhalten unterstützen.

Benachrichtigen des Benutzers über die erfolgreiche Installation des Smart Karte-Treibers

Sie können diese Richtlinieneinstellung verwenden, um zu steuern, ob dem Benutzer eine Bestätigungsmeldung angezeigt wird, wenn ein Smart Karte Gerätetreiber installiert wird.

Wenn diese Richtlinieneinstellung aktiviert ist, wird dem Benutzer eine Bestätigungsmeldung angezeigt, wenn ein Smart Karte Gerätetreiber installiert ist.

Wenn diese Einstellung nicht aktiviert ist, wird dem Benutzer keine Smart Karte Gerätetreiberinstallationsmeldung angezeigt.

-- --
Registrierungsschlüssel ScPnPNotification
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine
Hinweise und Ressourcen Diese Richtlinieneinstellung gilt nur für Intelligente Karte Treiber, die den WHQL-Testprozess (Windows Hardware Quality Labs) bestanden haben.

Verhindern, dass Nur-Text-PINs vom Anmeldeinformations-Manager zurückgegeben werden

Sie können diese Richtlinieneinstellung verwenden, um zu verhindern, dass der Anmeldeinformations-Manager Nur-Text-PINs zurückgibt.

Hinweis

Der Anmeldeinformations-Manager wird vom Benutzer auf dem lokalen Computer gesteuert und speichert Anmeldeinformationen von unterstützten Browsern und Windows-Anwendungen. Anmeldeinformationen werden in speziell verschlüsselten Ordnern auf dem Computer unter dem Profil des Benutzers gespeichert.

Wenn diese Richtlinieneinstellung aktiviert ist, gibt der Anmeldeinformations-Manager keine Nur-Text-PIN zurück.

Wenn diese Einstellung nicht aktiviert ist, kann der Anmeldeinformations-Manager Nur-Text-PINs zurückgeben.

Element Beschreibung
Registrierungsschlüssel DisallowPlaintextPin
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine
Hinweise und Ressourcen Wenn diese Richtlinieneinstellung aktiviert ist, funktionieren einige Smartcards möglicherweise nicht auf Computern, auf denen Windows ausgeführt wird. Wenden Sie sich an den Hersteller der intelligenten Karte, um zu ermitteln, ob diese Richtlinieneinstellung aktiviert werden soll.

Umkehren des in einem Zertifikat gespeicherten Antragstellernamens bei der Anzeige

Sie können diese Richtlinieneinstellung verwenden, um zu steuern, wie der Antragstellername während der Anmeldung angezeigt wird.

Hinweis

Damit Benutzer ein Zertifikat von einem anderen unterscheiden können, werden standardmäßig der Benutzerprinzipalname (User Principal Name, UPN) und der allgemeine Name angezeigt. Wenn diese Einstellung beispielsweise aktiviert ist und der Zertifikatantragsteller CN=User1, OU=Users, DN=example, DN=com und der UPN ist user1@example.com, wird User1 mit user1@example.comangezeigt. Wenn der UPN nicht vorhanden ist, wird der gesamte Antragstellername angezeigt. Diese Einstellung steuert die Darstellung dieses Antragstellernamens und muss möglicherweise für Ihre organization angepasst werden.

Wenn diese Richtlinieneinstellung aktiviert ist, wird der Antragstellername während der Anmeldung umgekehrt angezeigt, als er im Zertifikat gespeichert wird.

Wenn diese Richtlinieneinstellung nicht aktiviert ist, wird der Antragstellername wie im Zertifikat gespeichert angezeigt.

Element Beschreibung
Registrierungsschlüssel ReverseSubject
Standardwerte Keine Änderungen pro Betriebssystemversion
Deaktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine

Aktivieren der Zertifikatweitergabe über intelligente Karte

Sie können diese Richtlinieneinstellung verwenden, um die Zertifikatweitergabe zu verwalten, die auftritt, wenn eine intelligente Karte eingefügt wird.

Hinweis

Der Zertifikatweitergabedienst wird angewendet, wenn ein angemeldeter Benutzer eine intelligente Karte in einen Leser einfügt, der an den Computer angefügt ist. Diese Aktion bewirkt, dass das Zertifikat aus der intelligenten Karte gelesen wird. Die Zertifikate werden dann dem persönlichen Speicher des Benutzers hinzugefügt.

Wenn diese Richtlinieneinstellung aktiviert ist, erfolgt die Zertifikatweitergabe, wenn der Benutzer die intelligente Karte einfügt.

Wenn diese Richtlinieneinstellung deaktiviert ist, erfolgt keine Zertifikatweitergabe, und die Zertifikate sind für Anwendungen wie Outlook nicht verfügbar.

Element Beschreibung
Registrierungsschlüssel CertPropEnabled
Standardwerte Keine Änderungen pro Betriebssystemversion
Aktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Diese Richtlinieneinstellung muss aktiviert sein, damit die Einstellung Stammzertifikatweitergabe von Smart Karte aktivieren funktioniert, wenn sie aktiviert ist.

Aktivieren der Stammzertifikatweitergabe über smarte Karte

Sie können diese Richtlinieneinstellung verwenden, um die Stammzertifikatweitergabe zu verwalten, die beim Einfügen eines intelligenten Karte erfolgt.

Hinweis

Der Zertifikatweitergabedienst wird angewendet, wenn ein angemeldeter Benutzer eine intelligente Karte in einen Leser einfügt, der an den Computer angefügt ist. Diese Aktion bewirkt, dass das Zertifikat aus der intelligenten Karte gelesen wird. Die Zertifikate werden dann dem persönlichen Speicher des Benutzers hinzugefügt.

Wenn diese Richtlinieneinstellung aktiviert ist, erfolgt die Weitergabe des Stammzertifikats, wenn der Benutzer die intelligente Karte einfügt.

Wenn diese Richtlinieneinstellung nicht aktiviert ist, erfolgt die Weitergabe des Stammzertifikats nicht, wenn der Benutzer die intelligente Karte einfügt.

Element Beschreibung
Registrierungsschlüssel EnableRootCertificate Propagation
Standardwerte Keine Änderungen pro Betriebssystemversion
Aktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Damit diese Richtlinieneinstellung funktioniert, muss auch die Richtlinieneinstellung Zertifikatweitergabe von smarten Karte aktivieren aktiviert sein.
Hinweise und Ressourcen

Aktivieren des Smartcard-Plug & Play-Diensts

Sie können diese Richtlinieneinstellung verwenden, um zu steuern, ob Smartcard-Plug & Play aktiviert ist.

Hinweis

Ihre Benutzer können Smartcards von Anbietern verwenden, die ihre Treiber über Windows Update veröffentlicht haben, ohne spezielle Middleware zu benötigen. Diese Treiber werden auf die gleiche Weise heruntergeladen wie Treiber für andere Geräte in Windows. Wenn bei Windows Update kein geeigneter Treiber verfügbar ist, wird für diese Karten ein PIV-kompatibler Minitreiber verwendet, der in einer der unterstützten Versionen von Windows enthalten ist.

Wenn diese Richtlinieneinstellung aktiviert ist, versucht das System, einen Smart Karte-Gerätetreiber zu installieren, wenn zum ersten Mal eine intelligente Karte in einen intelligenten Karte-Reader eingefügt wird.

Wenn diese Richtlinieneinstellung nicht aktiviert ist, wird kein Gerätetreiber installiert, wenn eine intelligente Karte in einen Smart Karte-Leser eingefügt wird.

Element Beschreibung
Registrierungsschlüssel EnableScPnP
Standardwerte Keine Änderungen pro Betriebssystemversion
Aktiviert und nicht konfiguriert sind gleichwertig
Richtlinienverwaltung Neustartanforderung: Keine
Abmeldeanforderung: Keine
Richtlinienkonflikte: Keine
Hinweise und Ressourcen Diese Richtlinieneinstellung gilt nur für Intelligente Karte Treiber, die den WHQL-Testprozess (Windows Hardware Quality Labs) bestanden haben.

Basis-CSP- und Smartcard-KSP-Registrierungsschlüssel

Die folgenden Registrierungsschlüssel können für den CSP (Base Cryptography Service Provider) und den Smart Karte Key Storage Provider (KSP) konfiguriert werden. In den folgenden Tabellen sind die Schlüssel aufgeführt. Alle Schlüssel verwenden den DWORD-Typ.

Die Registrierungsschlüssel für den Basis-CSP befinden sich in der Registrierung in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider.

Die Registrierungsschlüssel für den smarten Karte KSP befinden sich in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider.

Registrierungsschlüssel für den Basis-CSP und den intelligenten Karte KSP

Registrierungsschlüssel Beschreibung
AllowPrivateExchangeKeyImport Ein Wert ungleich 0 (null) ermöglicht den Import privater RSA-Austauschschlüssel (z. B. Verschlüsselung) für die Verwendung in Schlüsselarchivierungsszenarien.
Standardwert: 00000000
AllowPrivateSignatureKeyImport Ein Wert ungleich Null ermöglicht den Import privater RSA-Signaturschlüssel für die Verwendung in Schlüsselarchivierungsszenarien.
Standardwert: 00000000
DefaultPrivateKeyLenBits Definiert bei Bedarf die Standardlänge für private Schlüssel.
Standardwert: 00000400
Standardparameter für die Schlüsselgenerierung: 1024-Bit-Schlüssel
RequireOnCardPrivateKeyGen Dieser Schlüssel legt das Flag fest, das eine Karte Generierung privater Schlüssel erfordert (Standard). Wenn dieser Wert festgelegt ist, kann ein auf einem Host generierter Schlüssel in die intelligente Karte importiert werden. Dies wird für Smartcards verwendet, die keine on-Karte Schlüsselgenerierung unterstützen oder bei denen der Schlüsseltresor erforderlich ist.
Standardwert: 00000000
TransactionTimeoutMilliseconds Mit Standardtimeoutwerten können Sie angeben, ob transaktionen, die eine übermäßige Zeit in Anspruch nehmen, fehlschlagen.
Standardwert: 000005dc
Das Standardtimeout für das Speichern von Transaktionen im smarten Karte beträgt 1,5 Sekunden.

Zusätzliche Registrierungsschlüssel für den Smart Karte KSP:

Registrierungsschlüssel Beschreibung
AllowPrivateECDHEKeyImport Mit diesem Wert können private ECDHE-Schlüssel (Ephemeral Elliptic Curve Diffie-Hellman) zur Verwendung in Schlüsselarchivierungsszenarien importiert werden.
Standardwert: 00000000
AllowPrivateECDSAKeyImport Mit diesem Wert können ecdsa-Private Schlüssel (Elliptic Curve Digital Signature Algorithm) für die Verwendung in Schlüsselarchivierungsszenarien importiert werden.
Standardwert: 00000000

CRL-Überprüfung von Registrierungsschlüsseln

In der folgenden Tabelle sind die Schlüssel und die entsprechenden Werte aufgeführt, um die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) im Schlüsselverteilungscenter (Key Distribution Center, KDC) oder client zu deaktivieren. Um die Überprüfung der Zertifikatsperrliste zu verwalten, müssen Sie Einstellungen für den KDC und den Client konfigurieren.

Registrierungsschlüssel Details
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Kdc\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors Typ = DWORD
Wert = 1
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\Kerberos\Parameters\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors Typ = DWORD
Wert = 1

Zusätzliche Einstellungen für intelligente Karte Gruppenrichtlinie und Registrierungsschlüssel

In einer Smart Karte-Bereitstellung können zusätzliche Gruppenrichtlinie-Einstellungen verwendet werden, um die Benutzerfreundlichkeit oder Sicherheit zu erhöhen. Zwei dieser Richtlinieneinstellungen, die eine Intelligente Karte Bereitstellung ergänzen können, sind:

  • Delegierung für Computer deaktivieren
  • Interaktive Anmeldung: STRG+ALT+ENTF nicht erforderlich (nicht empfohlen)

Die folgenden smart Karte-bezogenen Gruppenrichtlinie-Einstellungen befinden sich unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.

Einstellungen für lokale Sicherheitsrichtlinien

Gruppenrichtlinie Einstellung und Registrierungsschlüssel Standard Beschreibung
Interaktive Anmeldung: Smartcard erforderlich

scforceoption
Deaktiviert Diese Sicherheitsrichtlinieneinstellung erfordert, dass sich Benutzer mit einem intelligenten Karte bei einem Computer anmelden.

Aktiviert Benutzer können sich nur mit einem intelligenten Karte am Computer anmelden.
Deaktiviert Benutzer können sich mit einer beliebigen Methode beim Computer anmelden.

HINWEIS: Das von Windows LAPS verwaltete lokale Konto ist bei Aktiviert von dieser Richtlinie ausgenommen.
Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards

scremoveoption
Diese Richtlinieneinstellung ist nicht definiert, was bedeutet, dass sie vom System als Keine Aktion behandelt wird. Diese Einstellung bestimmt, was geschieht, wenn die intelligente Karte für einen angemeldeten Benutzer aus dem Smart Karte Reader entfernt wird. Die Optionen sind:
Keine Aktion
Arbeitsstation sperren: Die Arbeitsstation wird gesperrt, wenn die intelligente Karte entfernt wird, sodass Benutzer den Bereich verlassen, ihre intelligenten Karte mitnehmen und trotzdem eine geschützte Sitzung verwalten können.
Abmelden erzwingen: Der Benutzer wird automatisch abgemeldet, wenn die intelligente Karte entfernt wird.
Trennen, wenn eine Remotedesktopdienste-Sitzung: Durch das Entfernen des intelligenten Karte wird die Sitzung getrennt, ohne den Benutzer abmelden zu müssen. Der Benutzer kann die intelligente Karte erneut einfügen und die Sitzung später fortsetzen, oder an einem anderen Computer, der mit einem smarten Karte-Reader ausgestattet ist, ohne sich erneut anmelden zu müssen. Wenn die Sitzung lokal ist, funktioniert diese Richtlinieneinstellung identisch mit der Option Arbeitsstation sperren .

Über die lokale Sicherheitsrichtlinie Editor (secpol.msc) können Sie Systemrichtlinien bearbeiten und anwenden, um die Delegierung von Anmeldeinformationen für lokale Computer oder Domänencomputer zu verwalten.

Die folgenden Smart Karte-bezogenen Gruppenrichtlinie-Einstellungen finden Sie unter Computerkonfiguration\Administrative Vorlagen\System\Anmeldeinformationendelegierung.

Registrierungsschlüssel befinden sich in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults.

Hinweis

In der folgenden Tabelle sind die neuen Anmeldeinformationen diejenigen, die Sie beim Ausführen einer Anwendung einfordern.

Richtlinieneinstellungen für die Anmeldeinformationsdelegierung

Gruppenrichtlinie Einstellung und Registrierungsschlüssel Standard Beschreibung
Delegieren neuer Anmeldeinformationen zulassen

AllowFreshCredentials
Nicht konfiguriert Diese Richtlinieneinstellung gilt:
Wenn die Serverauthentifizierung über ein vertrauenswürdiges X509-Zertifikat oder kerberos-Protokoll erreicht wurde.
Für Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktopdienste).

Aktiviert: Sie können die Server angeben, auf denen die neuen Anmeldeinformationen des Benutzers delegiert werden können.
Nicht konfiguriert: Nach ordnungsgemäßer gegenseitiger Authentifizierung ist die Delegierung neuer Anmeldeinformationen an Remotedesktopdienste zulässig, die auf einem beliebigen Computer ausgeführt werden.
Deaktiviert: Die Delegierung neuer Anmeldeinformationen an einen beliebigen Computer ist nicht zulässig.

Hinweis: Diese Richtlinieneinstellung kann auf einen oder mehrere Dienstprinzipalnamen (SPNs) festgelegt werden. Der SPN stellt den Zielserver dar, auf dem die Benutzeranmeldeinformationen delegiert werden können. Ein einzelnes Wildcardzeichen ist zulässig, wenn der SPN angegeben wird, z. B.:
Verwenden Sie *TERMSRV/** für remotedesktop-Sitzungshost (RD-Sitzungshost), der auf einem beliebigen Computer ausgeführt wird.
Verwenden Sie TERMSRV/host.humanresources.fabrikam.com für den RD-Sitzungshost, der auf dem host.humanresources.fabrikam.com Computer ausgeführt wird.
Verwenden Sie TERMSRV/*.humanresources.fabrikam.com für rd-Sitzungshosts, der auf allen Computern in .humanresources.fabrikam.com
Delegieren neuer Anmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen

AllowFreshCredentialsWhenNTLMOnly
Nicht konfiguriert Diese Richtlinieneinstellung gilt:
Wenn die Serverauthentifizierung mithilfe von NTLM erreicht wurde.
Für Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktop).

Aktiviert: Sie können die Server angeben, auf denen die neuen Anmeldeinformationen des Benutzers delegiert werden können.
Nicht konfiguriert: Nach ordnungsgemäßer gegenseitiger Authentifizierung ist die Delegierung neuer Anmeldeinformationen an den RD-Sitzungshost zulässig, der auf einem beliebigen Computer (TERMSRV/*) ausgeführt wird.
Deaktiviert: Die Delegierung neuer Anmeldeinformationen ist auf keinem Computer zulässig.

Hinweis: Diese Richtlinieneinstellung kann auf einen oder mehrere SPNs festgelegt werden. Der SPN stellt den Zielserver dar, auf dem die Benutzeranmeldeinformationen delegiert werden können. Ein einzelnes Platzhalterzeichen (*) ist zulässig, wenn der SPN angegeben wird.
Beispiele finden Sie in der Beschreibung der Richtlinieneinstellung "Delegieren neuer Anmeldeinformationen zulassen ".
Delegieren neuer Anmeldeinformationen verweigern

DenyFreshCredentials
Nicht konfiguriert Diese Richtlinieneinstellung gilt für Anwendungen, die die CredSSP-Komponente verwenden (z. B. Remotedesktop).

Aktiviert: Sie können die Server angeben, auf denen die neuen Anmeldeinformationen des Benutzers nicht delegiert werden können.
Deaktiviert oder Nicht konfiguriert: Ein Server ist nicht angegeben.

Hinweis: Diese Richtlinieneinstellung kann auf einen oder mehrere SPNs festgelegt werden. Der SPN stellt den Zielserver dar, auf dem die Benutzeranmeldeinformationen nicht delegiert werden können. Ein einzelnes Platzhalterzeichen (*) ist zulässig, wenn der SPN angegeben wird.
Beispiele finden Sie in der Richtlinieneinstellung "Delegieren neuer Anmeldeinformationen zulassen".

Wenn Sie Remotedesktopdienste mit smarter Karte Anmeldung verwenden, können Sie standard- und gespeicherte Anmeldeinformationen nicht delegieren. Die Registrierungsschlüssel in der folgenden Tabelle, die sich unter HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaultsbefinden, und die entsprechenden Gruppenrichtlinie Einstellungen werden ignoriert.

Registrierungsschlüssel Entsprechende Gruppenrichtlinie Einstellung
AllowDefaultCredentials Delegieren von Standardanmeldeinformationen zulassen
AllowDefaultCredentialsWhenNTLMOnly Delegieren von Standardanmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen
AllowSavedCredentials Delegieren gespeicherter Anmeldeinformationen zulassen
AllowSavedCredentialsWhenNTLMOnly Delegieren gespeicherter Anmeldeinformationen mit nur NTLM-Serverauthentifizierung zulassen

Weitere Informationen

Technische Referenz zu Smartcards