Considere el siguiente escenario:
- Está proporcionando acceso VPN para una serie de máquinas que ejecutan Windows 10.
- Las máquinas están configuradas y reforzadas de acuerdo con los estándares de la compañía.
- Confía en los certificados de máquina para la autenticación a la puerta de enlace VPN.
- Desea evitar que los usuarios (o alguien que se haga pasar por un usuario legítimo) extraigan el certificado (y la clave privada) de sus máquinas y lo transfieran a otra máquina.
- Algunos de sus usuarios necesitan tener un nivel de permisos suficiente para extraer un certificado de archivo plano / par de claves de la máquina.
¿Cuáles son las buenas prácticas para evitar la extracción de credenciales de la máquina? Enfoques que vienen a la mente:
- Usa el TPM para el almacenamiento de claves. Preguntas aquí: ¿Windows admite el uso del TPM como un almacén de claves? ¿Cuánto costaría transferir el hardware de TPM a una máquina diferente?
- Use un token USB para el almacenamiento de claves. Pregunta aquí: los tokens están diseñados para ser conectables; ¿Existe una forma efectiva de evitar que se utilice en otra máquina?