Smartcard Gruppenrichtlinien / GPO im AD

Das Anmelden am Computer erfolgt normalerweise mit Benutzernamen und Passwort. Die Windows Anmeldung kann man aber auch per SmartCard durchführen, wenn das passende Zertifikat auf der Karte geschrieben ist. Damit man die Anmeldung in größeren Netzwerken noch anpassen kann, gibt es Smartcard Gruppenrichtlinien im Active Directory.

 

Voraussetzungen für eine SmartCard Anmeldung am Computer

Damit man sich mit einer SmartCard am Computer anmelden kann, müssen ein paar Voraussetzungen erfüllt sein. Zum einen benötigt man natürlich einen Kartenleser am Computer. Außerdem benötigt man ein passendes SmartCard Zertifikat auf der Karte, mit dem man sich als Benutzer XY ausgeben kann.

Die SmartCard-Anmeldung am Computer muss nicht explizit aktiviert werden. Windows erkennt, dass eine Karte gesteckt ist und aktiviert automatisch die Anmeldung per Karte.

 

Smartcard Gruppenrichtlinien / GPO im Active Directory

Wie oben schon genannt, muss die Karten-Anmeldung nicht explizit aktiviert werden. Jedoch gibt es trotzdem weitere Smartcard Gruppenrichtlinien, mit denen die Anmeldung an Windows angepasst werden kann. Wir zeigen euch die Einstellungen, welche im AD per GPO gesetzt werden können.

 

Interactive logon: Smart card removal behavior

Diese Gruppenrichtlinie ist dafür zuständig was passiert, wenn der Benutzer angemeldet ist und die Smart-Card aus dem Kartenleser gezogen wird. Zu finden ist diese unter folgendem Pfad:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\

Smartcard Gruppenrichtlinie GPO

Hier gibt es vier verschiedene Einstellungen, welche ich aber nicht weiter erklären werde, da diese Einstellungen selbsterklärend sind:

  • No Action (Keine Aktion)
  • Lock Workstation (Computer sperren)
  • Force Logoff (Benutzer abmelden)
  • Disconnect if a remote Remote Desktop Services session (RDP Verbindung trennen, falls verfügbar)

 

 

Smart Card Removal Policy

Unter manchen Windows Systemen ist es aber notwendig, dass der Dienst Smart Card Removal Policy ausgeführt wird um diese Einstellungen umzusetzen. Dieser wird als Standard nicht ausgeführt. Am Besten aktiviert man diesen Dienst ebenfalls in der SamrtCard GPO. Zu finden sind die Dienste übrigens unter folgendem Pfad.

Computer Configuration\Policies\Windows Settings\Security Settings\System Services\

Hier muss der Dienst Smart Card Removal Policy auf Automatic gesetzt werden.

 

Interactive logon: Require smart card

Wie der Titel schon sagt, aktiviert diese Gruppenrichtlinie im AD die Smard-Card Anmeldung und lässt keine andere Anmeldeoption zu. Somit ist nur noch die Anmeldung per Karte möglich. Diese ist ebenfalls unter folgendem Pfad des Group Policy Management Editors zu finden:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\

Diese Option kann lediglich auf Aktiviert oder auf Deaktiviert gesetzt werden.

 

Assign a default credential provider

Am Windows Anmeldebildschirm wird normalerweise immer die Anmeldemaske für Benutzer und Kennwort angezeigt. Es gibt aber die Möglichkeit die SmartCard Anmeldemaske zu priorisieren. Hierzu gibt es eine Gruppenrichtlinie unter folgendem Pfad:

Computer Configuration\Policies\Administrative Templates\System\Logon

Dort gibt es den Punkt Assign a default credential Provider. Dort muss die CLSID des Credential Providers angegeben werden. Alle verfügbaren CLSID´s findet man in der Registry unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers

 

Ich hoffe wir konnten euch mit dieser kleinen Übersicht der SmartCard GPO´s weiterhelfen.

Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

Click Here to Leave a Comment Below 0 comments