Podręcznik konfiguracji kart SmartCard Dell Endpoint Security

Aby wykorzystać uwierzytelnianie kart Smart Card przy użyciu środowiska Dell Endpoint Security Pre-Boot, musimy skonfigurować usługę Active Directory, aby umożliwić rejestrację i generowanie certyfikatów.

Certyfikat agenta rejestracji musi zostać przypisany do wszystkich użytkowników, którzy próbują przypisać certyfikaty do kart SmartCard dla innych użytkowników.

Aby skonfigurować i ustawić szablony, włącz szablon certyfikatu dla agenta rejestracji, a następnie dodaj nowy szablon użytkownika karty SmartCard.

Aby włączyć szablon certyfikatu dla agenta rejestracji:

1. Otwórz program Microsoft Management Console (MMC) instytucji certyfikującej.
   
2. Rozwiń do szablonów certyfikatów.
3. Kliknij prawym przyciskiem myszy okienko po prawej, a następnie kliknij pozycję Zarządzaj.
   
4. Kliknij prawym przyciskiem pozycję Agent rejestracji), a następnie kliknij opcję Powiel szablon.
   
5. Przejdź do karty Ogólne.
6. Wybierz opcję Opublikuj certyfikat w usłudze Active Directory.
7. Opcjonalnie zaktualizuj nazwę wyświetlaną szablonu i nazwę szablonu.
   

Aby dodać szablon użytkownika kart Smart Card:

1. W konsoli szablonu certyfikatu urzędu certyfikacji kliknij prawym przyciskiem myszy szablon użytkownika karty SmartCard, a następnie kliknij opcję Powiel szablon.
   
2. Na karcie Obsługa żądań zmodyfikuj Przeznaczenie na Podpis i logowanie kartą Smart Card.
   
3. Zaakceptuj monit, który się pojawi.
   
4. Upewnij się, że opcja Zezwalaj na eksport klucza prywatnego jest zaznaczona.
   
5. Na karcie Nazwa podmiotu domyślnie dostępne są opcje wymagające użycia określonego adresu e-mail jako alternatywnej metody weryfikacji. Niektóre środowiska mogą chcieć wyczyścić te opcje, aby uniknąć problemów z użytkownikami, którzy mogą nie mieć zdefiniowanych adresów e-mail w usłudze Active Directory.
   1. Usuń zaznaczenie pola wyboru Uwzględnij nazwę e-mail w nazwie podmiotu.
      
   2. Wyczyść nazwę e-mailw sekcji Uwzględnij te informacje w sekcji Alternatywna nazwa podmiotu.
      
6. Na karcie Wymagania dotyczące wystawiania zaznacz pole Ta liczba autoryzowanych podpisów.
   1. Pozostaw liczbę autoryzowanych podpisów ustawioną na 1.
   2. Pozostaw Typ zasad wymagany w podpisie jako Zasady aplikacji.
   3. Zmodyfikuj Zasady aplikacji na Agent żądań certyfikatu.
      
7. Kliknij przycisk OK, aby opublikować ten szablon.
8. Poczekaj, aż oba szablony zostaną wydane przez kliknięcie prawym przyciskiem myszy Certificate Templates (szablony certyfikatów) w MMC instytucji certyfikującej, a następnie kliknij szablon certyfikatu aby utworzyć.
   
9. Wybierz dwa nowo utworzone szablony certyfikatów.
   
10. Kliknij przycisk OK.

W tej sekcji opisano zmiany niezbędne do działania serwera Dell Security Management Server w celu umożliwienia funkcji kart Smart Card w środowisku uwierzytelniania przed rozruchem.

Administrator musi zaimportować główną instytucję certyfikującą i zmodyfikować zasady. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Importowanie głównej instytucji certyfikującej

Ponieważ w tym przewodniku certyfikaty Smart Card są podpisywane przez wewnętrzną instytucję certyfikującą (CA), należy upewnić się, że główna instytucja certyfikująca i wszyscy pośrednicy (niewymienieni w tym przewodniku) są zaimportowani do łańcucha certyfikatów.

1. Wyeksportuj certyfikat głównej instytucji certyfikującej konsoli Microsoft Management Console (MMC).
   1. Uruchom aplikację MMC.
   2. Kliknij Plik.
   3. Kliknij Add/Remove Snap-in (Dodaj/usuń przystawkę).
   4. Wybierz Certificates (Certyfikaty).
   5. Kliknij przycisk Add.
   6. Wybierz Konto komputera.
   7. Kliknij przycisk Zakończ.
   8. Kliknij przycisk OK.
      
   9. Rozwiń Certificates (certyfikaty).
   10. Rozwiń Trusted Root Certification Authorities (Zaufane główne instytucje certyfikujące).
   11. Wybierz Certificates (Certyfikaty).
   12. Kliknij prawym przyciskiem myszy certyfikat wystawiony przez instytucję certyfikującą domeny. Są one zsynchronizowane z zasadami grupy.
       
   13. Wybierz opcję Wszystkie zadania, a następnie kliknij przycisk Eksportuj.
   14. Eksportuj certyfikat jako DER encoded binary X.509 (.CER).
   15. Zapisz go, a następnie zapisz lokalizację w takiej postaci, w jakiej będzie wkrótce używana.
2. Zaimportuj ten certyfikat do zaufanych certyfikatów magazynu kluczy Java.
   1. Uruchom Command Prompt jako administrator.
   2. Zmodyfikuj ścieżkę, aby umożliwić uruchamianie poleceń narzędzia keytool przez wpisanie Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" , a następnie wpisz Enter.
      Uwaga: W przypadku programu Dell Security Management Server w wersji 9.2 lub starszej wpisz Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" i naciśnij klawisz Enter.
   3. Przejdź do katalogu conf programu Security Server, wpisując %INSTALLDIR%\Enterprise Edition\Security Server\conf\ i naciśnij klawisz Enter.
      
   4. Zaimportuj plik .cer wyeksportowany w kroku 1 do magazynu kluczy Java (cacerts), wpisując Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts i naciśnij klawisz Enter.
      
   5. Wprowadź hasło pliku cacerts.
   6. Zaakceptuj monit o zaufanie do certyfikatu, wpisując Y.
      
   7. Uruchom ponownie serwer zabezpieczeń, aby zakończyć import.

Modyfikacja zasad

Kliknij wersję serwera Dell Data Security, aby uzyskać odpowiednie konfiguracje zasad. Aby uzyskać więcej informacji na temat rozpoznawania wersji, zapoznaj się z artykułem Identyfikacja wersji oprogramowania Dell Data Security / Dell Data Protection.

wersja 9.8.0 lub nowsza

Aby zmodyfikować zasady zezwalające kartom smart na mechanizm uwierzytelniania PBA:

1. Otwórz konsolę Dell Data Security Administration Console.
   Uwaga: Aby uzyskać więcej informacji, zapoznaj się z artykułem Uzyskiwanie dostępu do konsoli administracyjnej Dell Data Security / Dell Data Protection Server.
2. Zaloguj się jako użytkownik, który może modyfikować i zatwierdzać zasady.
3. Przejdź do populacji, w której chcesz wprowadzić zmiany w zasadach. Na przykład wybierz opcję Populacje, a następnie kliknij pozycję Enterprise.
4. Wybierz kartę Zasady zabezpieczeń.
   
5. Wybierz Pre-boot Authentication (Uwierzytelnianie przed rozruchem).
6. Zmodyfikuj metodę uwierzytelniania SED z Password (hasło) na Smartcard (karta Smart Card).
   Uwaga: Upewnij się, że zasady dysków samoszyfrujących są włączone włączone, aby włączyć to dla całego przedsiębiorstwa.
   
   
7. Zapisz i zatwierdź zasady.
   Uwaga: Aby uzyskać więcej informacji, zapoznaj się z artykułem Stosowanie zasad w przypadku serwerów Dell Data Security / Dell Data Protection.

Wersja od 9.2.0 do 9.7.0

Aby zmodyfikować zasady zezwalające kartom smart na mechanizm uwierzytelniania PBA:

1. Otwórz konsolę Dell Data Protection Administration Console.
   Uwaga: Aby uzyskać więcej informacji, zapoznaj się z artykułem Uzyskiwanie dostępu do konsoli administracyjnej Dell Data Security / Dell Data Protection Server.
2. Zaloguj się jako użytkownik, który może modyfikować i zatwierdzać zasady.
3. Przejdź do populacji, w której chcesz wprowadzić zmiany w zasadach. Na przykład wybierz opcję Populacje, a następnie kliknij pozycję Enterprise.
4. Wybierz kartę Zasady zabezpieczeń.
   
5. Kliknij opcję Self-Encrypting Drive (SED) (dysk samoszyfrujący).
6. Zmodyfikuj metodę uwierzytelniania SED z Password (hasło) na Smartcard (karta Smart Card).
   Uwaga: Upewnij się, że zasady dysków samoszyfrujących są włączone włączone, aby włączyć to dla całego przedsiębiorstwa.
   
   
7. Zapisz i zatwierdź zasady.
   Uwaga: Aby uzyskać więcej informacji, zapoznaj się z artykułem Stosowanie zasad w przypadku serwerów Dell Data Security / Dell Data Protection.

Wersja od 8.0.0 do 9.1.5

Aby zmodyfikować zasady zezwalające kartom smart na mechanizm uwierzytelniania PBA:

1. Zmodyfikuj zasady zezwalające kartom Smart Card na mechanizm uwierzytelniania PBA.
   1. Otwórz konsolę Remote Management Console.
      Uwaga: Aby uzyskać więcej informacji, zapoznaj się z artykułem Uzyskiwanie dostępu do konsoli administracyjnej Dell Data Security / Dell Data Protection Server.
   2. Zaloguj się jako użytkownik, który może modyfikować i zatwierdzać zasady.
   3. Przejdź do Enterprise.
   4. Kliknij Security Policies (Zasady zabezpieczeń) u góry.
   5. Zastąp (niedostępne w Virtual Edition).
   6. Zmodyfikuj kategorię zasad na Self-Encrypting Drives (dyski samoszyfrujące).
      
   7. Rozwiń SED Administration (Administracja SED).
   8. Zmodyfikuj metodę uwierzytelniania SED z Password (hasło) na Smartcard (karta Smart Card).
      
      Uwaga: Upewnij się, że opcja Enable SED Management (Włącz zarządzanie SED) oraz Activate PBA (Aktywuj PBA) są ustawione na True (Prawda), aby włączyć to dla całego przedsiębiorstwa.
   9. Zapisz tę zasadę.
   10. Kliknij Commit Policies (wprowadź zasady) z lewej strony.
   11. Kliknij przycisk Apply Changes (Zastosuj zmiany)

Karty Smart Card są domyślnie puste. Każdej karcie Smart Card trzeba przypisać certyfikat, aby dodać certyfikat do uwierzytelniania. Certyfikaty są zazwyczaj przypisywane do kart Smart Card za pośrednictwem aplikacji pośredniczącej. W poniższych przykładach przedstawiono import za pośrednictwem starszego oprogramowania Charismathics dla kart Smart Card klasy Enterprise i VersaSec do weryfikacji tożsamości osobistej (PIV), opartej na kartach Smart Card. Po przypisaniu certyfikatu administrator musi włączyć logowanie jednokrotne w systemie Windows za pomocą kart SmartCard. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Charismathics

Aby korzystać z kart Smart Card, musimy mieć agenta rejestracji, który może przypisać certyfikaty do urządzenia oraz oprogramowanie pośredniczące, które tłumaczy informacje o certyfikatach pochodzące z urzędu certyfikacji firmy Microsoft na coś, z czego karta może korzystać.

Większość kart Smart Card nie ma wstępnie zaprogramowanych tokenów zabezpieczeń. Administrator musi zapisać token zabezpieczeń na nowej karcie Smart Card, dodać certyfikat dla agenta rejestracji, a następnie zarejestrować użytkowników i przesłać certyfikaty. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Tworzenie tokena zabezpieczeń na nowej karcie Smart Card

1. Otwórz Cryptographic Service Provider (CSP).
2. Po włożeniu karty bez aktywnego tokena otrzymujemy podstawowe informacje.
   
3. Po utworzeniu tokena zabezpieczeń należy upewnić się, że jest on ustawiony dla profilu PKCS15.
   
4. Po utworzeniu będziemy mieli o wiele więcej opcji i będziemy mogli poprawnie zaimportować certyfikat.
   

Dodaj certyfikat dla agenta rejestracji

1. Otwórz program Microsoft Management Console (MMC).
2. Kliknij Plik.
3. Kliknij Add/Remove Snap-in (Dodaj/usuń przystawkę).
4. Wybierz Certificates (Certyfikaty).
5. Kliknij przycisk Add.
6. Wybierz opcję dla My user account (moje konto użytkownika).
7. Kliknij przycisk Zakończ.
8. Kliknij przycisk OK.
9. Rozwiń Certyfikaty — bieżący użytkownik.
10. Rozwiń pozycję Personal (Osobiste).
11. Rozwiń Certyfikaty, jeśli istnieje.
12. Kliknij prawym przyciskiem myszy w środkowym okienku, wybierz opcję Wszystkie zadania, a następnie Zażądaj nowego certyfikatu.
    
13. Kliknij przycisk Next.
14. Pozostaw zaznaczoną zasadę rejestracji usługi Active Directory .
15. Kliknij przycisk Next.
16. Wybierz certyfikat agenta rejestracji, który został utworzony i opublikowany wcześniej.
    
17. Kliknij Enroll (Zarejestruj).
18. Po zakończeniu kliknij przycisk Finish (Zakończ) .

Rejestracja użytkowników i przesyłanie certyfikatów

Teraz możemy zarejestrować użytkowników na wygenerowanej karcie smart i wysłać certyfikaty na kartę przy użyciu MMC certyfikatów.

Aby zarejestrować użytkowników i przesłać certyfikaty:

1. Otwórz program Microsoft Management Console (MMC).
2. Kliknij Plik.
3. Kliknij Add/Remove Snap-in (Dodaj/usuń przystawkę).
4. Wybierz Certificates (Certyfikaty).
5. Kliknij przycisk Add.
6. Wybierz opcję dla My user account (moje konto użytkownika).
7. Kliknij przycisk Zakończ.
8. Kliknij przycisk OK.
9. Rozwiń Certyfikaty — bieżący użytkownik.
10. Rozwiń pozycję Personal (Osobiste).
11. Rozwiń Certyfikaty, jeśli istnieje.
12. Kliknij prawym przyciskiem myszy w środkowym okienku, wybierz opcję Wszystkie zadania, Advanced Operations (działania zaawansowane), a następnie Enroll on Behalf of (Zarejestruj w imieniu).
    
13. Kliknij przycisk Next.
14. Pozostaw zaznaczoną zasadę rejestracji usługi Active Directory .
15. Kliknij przycisk Next.
16. Kliknij przycisk Browse.
17. Wybierz certyfikat agenta rejestracji, który został utworzony i opublikowany wcześniej i kliknij OK.
    
18. Kliknij przycisk Next.
19. Wybierz opcję szablonu użytkownika kart Smart Card, który wygenerowaliśmy wcześniej.
    
20. Wybierz Details (Szczegóły), a następnie kliknij Properties (Właściwości).
    
21. Zmodyfikuj dostawcę usług kryptograficznych na aplikację, z której korzystasz. W tym przypadku jest to Charismathics.
    
22. Kliknij przycisk OK.
23. Kliknij przycisk Next (Dalej).
24. Kliknij przycisk Przeglądaj , a następnie zmodyfikuj lokalizacje, aby pobrać je z domeny.
    
    
    
25. Wprowadź nazwę użytkownika do zarejestrowania.
26. Kliknij Sprawdź nazwy, aby zweryfikować użytkownika.
    
27. Kliknij przycisk OK.
28. Kliknij Enroll (Zarejestruj).
29. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.
    
    
    
    
    
30. Kliknij przycisk Next User (Dalej użytkownik ), aby zarejestrować kolejnych użytkowników przy użyciu tej samej metody, lub kliknij przycisk Close (Zamknij), aby kontynuować.

Karty Smart Card mogą być teraz wykorzystywane do uwierzytelniania PBA.

VersaSec

VersaSec używa wcześniej wygenerowanych certyfikatów do rejestracji nowych certyfikatów. Ten proces używa szablonów certyfikatów utworzonych za pośrednictwem usługi Active Directory, aby umożliwić pracownikom generowanie certyfikatów logowania dla innych pracowników podczas sesji logowania. Administrator musi ukończyć rejestrację certyfikatów, eksport certyfikatu, a następnie przypisać certyfikat do karty Smart Card. Kliknij odpowiedni proces, aby uzyskać więcej informacji.

Rejestracja certyfikatu

Aby zarejestrować certyfikat:

1. Otwórz program Microsoft Management Console (MMC) jako administrator przypisujący certyfikaty na urządzeniu przyłączonym do domeny, w której skonfigurowano szablony certyfikatów.
   
2. Wybierz opcję Add/Remove Snap-in (Dodaj/Usuń przystawkę).
   
3. Wybierz Certyfikaty , a następnie wybierz Dodaj.
   
4. Upewnij się, że opcja dla My user account (moje konto użytkownika) jest wybrana.
   
5. Wybierz OK, aby załadować wybrane przystawki.
   
6. Rozwiń sekcję Certyfikaty — bieżący użytkownik, kliknij prawym przyciskiem myszy prawy panel, a następnie wybierz opcję Wszystkie zadania, po czym Zażądaj nowego certyfikatu.
   
7. Upewnij się, że opcja Zasady rejestracji usługi Active Directory jest zaznaczona, a następnie kliknij przycisk Dalej.
   
8. Wybierz szablon certyfikatu, który umożliwia utworzenie agenta rejestracji dla bieżącego użytkownika, a następnie wybierz opcję Zarejestruj. W tym przykładzie wykorzystano wcześniej utworzony szablon rejestracji agenta rejestracji.
   
9. Po zakończeniu procesu rejestracji kliknij przycisk Finish (Zakończ).
   
10. Za pomocą certyfikatu agenta rejestracji wygeneruj certyfikat użytkownika kart SmartCard oparty na wstępnie wygenerowanym szablonie, wybierając folder Certyfikaty w lewym okienku. Wybierz Wszystkie zadania, Advanced Operations (działania zaawansowane), a następnie Enroll on Behalf of (Zarejestruj w imieniu).
    
11. Upewnij się, że opcja Zasady rejestracji usługi Active Directory jest zaznaczona, a następnie kliknij przycisk Dalej.
    
12. Wybierz opcję Przeglądaj, gdy pojawi się żądanie certyfikatu agenta rejestracji.
    
13. Upewnij się, że wybrano odpowiedni certyfikat, a następnie kliknij OK.
    
14. Upewnij się, że zdefiniowano odpowiedniego użytkownika, a następnie kliknij Next (Dalej).
    
15. Wybierz szablon utworzony w celu rejestracji użytkownika kart Smart Card, a następnie kliknij przycisk Dalej. W tym przykładzie wykorzystano szablon o nazwie Smartcard User Enrollment.
    
16. Wybierz Przeglądaj , aby znaleźć odpowiedniego użytkownika.
    
17. Zmodyfikuj lokalizację, aby przeszukać cały katalog, klikając opcję Lokalizacja.
    
18. Wybierz odpowiednią domenę lub jednostkę organizacyjną (OU), a następnie kliknij OK.
    
19. Wprowadź użytkownika, dla którego chcesz wygenerować certyfikat Smart Card, a następnie wybierz opcję Sprawdź nazwy , aby zweryfikować nazwę użytkownika nadrzędnego (UPN).
    
20. Potwierdź prawidłowego użytkownika, jeśli znaleziono wielu użytkowników, a następnie wybierz OK.
    
21. Potwierdź informacje o użytkowniku, a następnie kliknij OK.
    
22. Potwierdź informacje o użytkowniku ponownie, a następnie kliknij Zarejestruj.
    
23. Rejestracja zostanie szybko zakończona. Wybierz pozycję Następny użytkownik , aby wygenerować kolejny certyfikat użytkownika, lub wybierz pozycję Zamknij , aby ukończyć proces generowania certyfikatu. W każdej chwili w przyszłości można utworzyć więcej certyfikatów dla dodatkowych użytkowników.
    

Eksport certyfikatu

Certyfikaty najpierw należy wyeksportować w formacie PKCS12, aby zostały przypisane do kart Smart Card. Certyfikaty muszą zawierać klucz prywatny i pełny łańcuch certyfikatu.

Aby wyeksportować certyfikat:

1. Otwórz program Microsoft Management Console (MMC) jako administrator przypisujący certyfikaty na urządzeniu przyłączonym do domeny, w której skonfigurowano szablony certyfikatów.
   
2. Wybierz opcję Add/Remove Snap-in (Dodaj/Usuń przystawkę).
   
3. Wybierz Certyfikaty, a następnie kliknij przycisk Dodaj.
   
4. Upewnij się, że opcja dla My user account (moje konto użytkownika) jest wybrana.
   
5. Wybierz OK, aby załadować wybrane przystawki.
   
6. Rozwiń sekcję Certyfikaty — bieżący użytkownik, a następnie kliknij prawym przyciskiem myszy użytkownika, aby wyeksportować. Wybierz opcję Wszystkie zadania, a następnie kliknij przycisk Eksportuj.
   
7. Kliknij opcję Yes, export the private key (Tak, wyeksportuj klucz prywatny), a następnie kliknij przycisk Next (Dalej).
   
8. Usuń zaznaczenie opcji Włącz prywatność certyfikatu, zaznacz opcję Eksportuj wszystkie właściwości rozszerzone, a następnie kliknij przycisk Dalej.
   
9. Wybierz opcję Password (Hasło), przypisz bezpieczne hasło do certyfikatu, a następnie wybierz Next (Dalej).
   
   Uwaga: Nie modyfikuj opcji szyfrowania.
10. Przypisz nazwę pliku i lokalizację, a następnie wybierz przycisk Dalej.
    
11. Potwierdź szczegóły, a następnie wybierz opcję Zakończ, aby zakończyć eksport.
    

Przypisywanie certyfikatu do kary Smart Card

Zainstaluj i pobierz oprogramowanie VersaSec oraz wszelkie administracyjne oprogramowanie pośredniczące, które mogą być wymagane dla kart SmartCard, które są przydzielane.

Aby przypisać certyfikat do kary Smart Card:

1. Uruchom agenta VersaSec i włóż kartę Smart Card.
2. Przejdź do Card Actions — Certificates and Keys ( Certyfikaty i klucze), a następnie wybierz Import.
   
3. Przejdź do wyeksportowanego certyfikatu i wybierz go, aby powiązać go z kartą SmartCard. Wprowadź hasło certyfikatu w polu Hasło, a następnie wybierz Import.
   
4. Po wyświetleniu monitu o Kod dostępu wprowadź kod PIN użytkownika, a następnie wybierz przycisk OK.
   
5. Po zakończeniu pisania certyfikatu pojawi się on na liście.
   
6. Po zapisaniu wszystkich certyfikatów dla wszystkich kont na karcie Smart Card można go użyć do zalogowania się do systemu Windows lub środowiska uwierzytelniania przedrozruchowego Dell.

Włączanie logowania jednokrotnego w systemie Windows za pomocą kart SmartCard

Proces włączania logowania jednokrotnego do systemu Windows za pomocą kart Smart Card różni się w zależności od używanej wersji oprogramowania Dell Encryption Enterprise. Wybierz odpowiednią wersję, aby uzyskać więcej informacji. Aby uzyskać więcej informacji, zapoznaj się z artykułem Identyfikowanie wersji oprogramowania Dell Encryption Enterprise lub Dell Enryption Personal.

Dell Encryption Enterprise, wersja 8.18 lub nowsza

Nie są wymagane żadne zmiany w punktach końcowych. Po ustawieniu zasad za pośrednictwem konsoli zarządzania wszystkie zmiany punktów końcowych następują automatycznie.

Same karty Smart Card mogą wymagać oprogramowania pośredniczącego. Skontaktuj się z dostawcą kart Smart Card, aby ustalić, czy w każdym punkcie końcowym musi być zainstalowane oprogramowanie pośredniczące, aby umożliwić uwierzytelnianie w systemie Windows.

Dell Encryption Enterprise, wersja 8.17.2 lub starsza

Domyślnie komputery klienckie nie logują się jednoetapowo. Aby można było na to zezwolić, należy dodać klucz rejestru.

Klucz rejestru:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On  

1. Uruchom Edytor rejestru
2. Rozwiń HKEY Local Machine.
3. Rozwiń Software.
4. Rozwiń DigitalPersona.
5. Rozwiń Policies.
6. Rozwiń Default.
7. Utwórz klucz, a następnie nadaj mu nazwę Smartcards.
   
8. Utwórz DWORD, a następnie nadaj mu nazwę MSSmartcardSupport.
   
9. Ustaw wartość danych na 1.