Considera il seguente scenario:
- Stai fornendo l'accesso VPN per un numero di computer che eseguono Windows 10.
- Le macchine sono configurate e temprate in base agli standard aziendali.
- Ci si basa su certificati macchina per l'autenticazione al gateway VPN.
- Si desidera impedire agli utenti (o qualcuno che impersona un utente legittimo) di estrarre il certificato (e la chiave privata) dalle proprie macchine e trasferirli su un'altra macchina.
- Alcuni dei tuoi utenti devono avere un livello di permessi sufficiente per estrarre dalla macchina una coppia di certificati / chiavi di file flat.
Quali sono le buone pratiche per impedire l'estrazione delle credenziali del computer? Approcci che vengono in mente:
- Utilizzare il TPM per l'archiviazione delle chiavi. Domande qui: il supporto di Windows utilizza il TPM come keystore? Quanto sarebbe necessario per trasferire l'hardware TPM stesso su un altro computer?
- Utilizza un token USB per l'archiviazione delle chiavi. Domanda qui i token sono progettati per essere collegabili; esiste un modo efficace per impedire che venga utilizzato su un'altra macchina?