只适用于UAC的智能卡

Question

我正在将USB配置为我们公司的智能卡，以便工作人员只需插入密钥并键入PIN即可提升到管理帐户(添加到计算机的本地管理员组)。

如果可能的话，我想禁用使用智能卡交互登录到窗口的选项；我们只需要UAC提示(例如安装软件)。

我试过的事情：

• 证书模板--从扩展中删除“智能卡登录”(但保留了“客户端身份验证”)。
• 广告用户和计算机
• regedit --切换了“scforceoption”
• gpedit.msc --切换“交互式登录:需要智能卡”(可能与“scforceoption”相同？)
• 本地服务--切换“智能卡即插即用服务”

我是否应该查看Windows登录设置、证书使用配置、CA模板或特定的智能卡设备，以限制其仅用于UAC并防止交互登录？

不确定这是否应该移动到‘密码’StackExchange。

Answer 1

不确定这是否是首选的方法，但来自Yubikey的人提供了一个建议，但实际上似乎可行。

启用智能卡服务需要Windows scardsvr服务；如果不运行该服务，登录屏幕将不会显示任何使用智能卡登录的选项。我只需将服务设置为manual，然后在用户登录或注销时使用Task Scheduler触发服务(net start scardsvr)的启动或停止。

这些任务计划以本地管理员的身份运行，这样登录用户仍然只能拥有基本的用户级别特权。

这仍然容易被用户取消，因为他们可以简单地使用他们的智能卡禁用停止服务任务，但是这个问题主要是为了简化登录屏幕，而不是提供一个更安全的用户环境。