如何在 Windows 2000 中安装智能卡读卡器

本文介绍如何安装小型卡读卡器。

由于在域上对用户进行身份验证时，将使用基于加密法的标识和拥有证据，因此用小型卡登录网络会提供一种强大的身份验证形式。例如，如果有恶意的个人企图获取用户的密码，他仅使用密码即可在网络上获取用户的标识。许多人都选择容易记忆的密码。这得使密码在本质上非常脆弱，容易受到攻击。有了小型卡，怀有恶意的个人必须获取用户的小型卡和个人标识号 (PIN) 才能冒充该用户。由于需要额外一层信息才能冒充用户，所以很难攻击这种组合。另外一个优点是：当连续几次错误输入 PIN 后，将锁定小型卡。这使得对小型卡的“字典”攻击难于奏效。请注意，PIN 不必是一系列数字，它也可以是其他字母数字字符。

back to the top

在计算机上安装智能卡读卡器

如果您的读卡器包括制造商提供的说明，请使用这些说明。如果未提供说明，请使用以下一般性过程：

1.	确保您具有 Windows 2000 CD-ROM 以及智能卡读卡器制造商提供的、包含相应的设备驱动程序的任何介质。
2.	关闭 Windows 并关掉计算机。
3.	根据您购买的读卡器类型，请将读卡器连接到可用串行端口上，或者将 PC 卡读卡器插入可用的 PC 卡类型 II 插槽。
4.	如果您的串行读卡器具有辅助的 PS/2 电缆或连接器，请将键盘或鼠标连接器连接到该连接器，然后将后者插入计算机的键盘或鼠标端口。由于电源并不总是由 RS-232 端口提供，而单独的电源会既昂贵又笨重，因此许多新型智能卡读卡器都由键盘或鼠标端口供电。
5.	重新启动计算机并以管理员身份登录。
6.	使用以下方法之一： • 如果随 Windows 2000 自动安装的 Driver.cab 文件中提供了智能卡读卡器的设备驱动程序，则安装智能卡读卡器时不会出现任何提示或进行任何干涉。这可能需要几分钟的时间。 如果拔下或弹出硬件图标出现在任务栏的状态区中（如果该图标先前没有出现），并且读卡器出现在拔下或弹出硬件对话框的硬件设备列表中，则可以确认读卡器已安装。 • 如果 Driver.cab 文件中没有提供智能卡读卡器的设备驱动程序，则“添加/删除硬件向导”将启动。按照关于安装设备驱动程序的说明操作。 系统可能会提示您插入智能卡读卡器制造商提供的、包含设备驱动程序的介质（如 CD-ROM 或软盘）。或者，管理员可能会告诉您从哪个网络共享位置获取驱动程序。

如果智能卡读卡器未自动安装或者“添加/删除硬件向导”未自动启动，则您的智能卡读卡器可能不是即插即用设备。请与智能卡读卡器制造商联系，以获取设备驱动程序以及有关如何安装和配置该设备的说明。

back to the top

启用智能卡或其他证书验证

1.	单击开始，指向设置，然后单击网络和拨号连接。
2.	右键单击在使用智能卡或其他证书验证时所用的拨号、VPN 或传入连接，然后单击属性。
3.	如果要采用智能卡的典型设置，请单击安全措施选项卡上的典型（推荐设置），然后单击验证我的身份为框中的使用智能卡。
4.	如果要分别启用、配置和禁用身份验证方法和加密要求，请单击安全措施选项卡上的高级（自定义设置），然后单击设置。
5.	在登录安全措施下，单击使用可扩展的身份验证协议 (EAP)，单击智能卡或其它证书 (TLS)（启用加密），单击属性，然后使用以下方法之一： • 如果要使用位于智能卡上的证书，请单击使用我的智能卡。 • 如果要使用位于计算机证书存储区中的证书，请单击在此计算机上使用证书。 • 如果要验证向计算机提供的服务器证书尚未过期，具有正确的签名，并且具有受信任的根证书颁发机构，请选中验证服务器证书复选框。 • 如果您想仅连接到特定域中的服务器，请选中服务器名称结尾为如下时，才连接复选框，然后键入域的名称。 • 若要指定服务器证书的根证书颁发机构必须属于特定的根证书颁发机构，请单击受信任的根目录证书颁发机构框中的相应证书颁发机构。 • 若要在智能卡或证书中的用户名与您登录到的域中的用户名不同时使用不同的用户名，请选中为此连接使用一个不同的用户名复选框。 备注： • 例如，如果您想仅连接到 Microsoft.com 域中的服务器，请在服务器名称结尾为如下时，才连接框中键入 Microsoft.com。 • 例如，如果您供职于一家咨询公司，并且必须登录您被指派到的公司域，但您的智能卡包含特定于总公司的用户名，请选中发送与智能卡或证书上的用户名不同的用户名复选框。 • 如果您选中发送与智能卡或证书上的用户名不同的用户名复选框，您的证书会在不包含私钥的情况下导出，并提交给系统管理员来显式地映射到您的域用户帐户。 • 如果您选中服务器名称结尾为如下时，才连接复选框，而没有键入域名，则系统将在您建立连接时提示您使用服务器证书中的域名。

back to the top

用智能卡登录计算机

若要用智能卡登录计算机，并不需要按 CTRL+ALT+DELETE 键。当您将智能卡插入智能卡读卡器时，系统将提示您输入个人标识号 (PIN)，而不是用户名和密码（适当的时候会提示您输入域）。

若要用智能卡登录计算机，请按照下列步骤操作：

1.	当显示登录屏幕时，将智能卡插入智能卡读卡器。
2.	按照提示键入智能卡的 PIN。

如果您键入的 PIN 被识别为合法，您将登录计算机和域，这取决于域管理员向您的用户帐户分配的权限。

如果您连续几次键入错误的智能卡 PIN，则将无法用该智能卡登录计算机。根据智能卡制造商的不同，锁定之前允许的错误登录尝试次数将有所不同。请与您的管理员联系，以获取替换 PIN。

back to the top

使用即插即用的智能卡读卡器

Microsoft 建议您在基于 Windows 2000 的计算机上仅使用经过 Microsoft Windows 硬件质量实验室的测试并且已获取兼容 Windows 徽标的智能卡读卡器。

Microsoft 不建议在基于 Windows 2000 的计算机上使用不兼容即插即用的智能卡读卡器。如果您使用的是这样的读卡器，则必须从智能卡读卡器制造商处直接获取安装说明（和设备驱动程序）。Microsoft 不支持使用非即插即用的智能卡读卡器。

Windows 2000 支持以下智能卡读卡器。只有当 Windows 检测到您已经连接相应的即插即用智能卡读卡器时，才会安装这些读卡器的驱动程序。

制造商	智能卡读卡器	接口	设备驱动程序
Bull	CP8 Smart TLP3	RS-232	Bulltlp3.sys
Gemplus	GCR410P	RS-232	Gcr410p.sys
Gemplus	GPR400	PCMCIA	Gpr400.sys
Litronic	220P	RS-232	Lit220p.sys
Rainbow Technologies	3531	RS-232	Rnbo3531.sys
SCM Microsystems	SwapSmart	RS-232	Scmstcs.sys
SCM Microsystems	SwapSmart	PCMCIA	Pscr.sys

back to the top

疑难解答

•	当您注销安装有智能卡读卡器的工作站时，可能会有长达一分钟的延迟。 如果您登录工作站，锁定该工作站并让屏幕保护程序运行几分钟，解锁工作站，然后再注销，则会出现这种延迟。该延迟在 Winlogon 进程中发生。若要解决此问题，请获取用于 Windows 2000 的最新服务包。有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 260910 如何获取最新的 Windows 2000 Service Pack
•	当您使用需要安全证书的 Web 文件夹时，系统将提示您选择证书并为尝试访问 Web 共享的每个程序提供一个 PIN。 之所以会出现此问题，是因为证书没有在工作站上进行全局缓存。当每个进程首次使用存储在智能卡中的证书，该进程必须查询智能卡 PIN。若要解决此问题，请获取用于 Windows 2000 的最新服务包。有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 260910 如何获取最新的 Windows 2000 Service Pack
•	当您尝试用密码登录时，可能会收到下面的错误消息： Your account has been disabled.Please see your system administrator. 如果您的帐户配置为只允许用智能卡登录，但您却尝试用密码登录，则会出现此现象。在管理员从您的用户帐户中删除这一限制之前，您将无法在不使用智能卡的情况下登录。

back to the top

有关使用智能卡的其他一般性信息，请参见以下 Microsoft Web 站点： 有关安装智能卡的其他信息，请参见以下 Microsoft Web 站点： 有关所支持的智能卡读卡器的其他信息，请查看下面的 Microsoft Web 站点： 有关用智能卡登录计算机的其他信息，请参见下面的 Microsoft Web 站点： 有关管理智能卡的其他信息，请参见以下 Microsoft Web 站点： back to the top