Ainda não está totalmente claro o que você realmente quer, mas com base no esclarecimento nos comentários, é melhor definir restrições quando os usuários podem fazer login em computadores usando algo como horas de logon . Parece que você está mais interessado em impedir logins na caixa depois de um certo ponto (como quando o cartão inteligente é removido) em vez de obter benefícios de segurança do próprio cartão inteligente. Como o usuário conectado já terá direitos de administrador na caixa, um cartão inteligente não dará garantias adicionais de segurança.
Você também pode considerar a criação automática desta caixa em algum cronograma (noturno, semanal, etc) para acabar com qualquer malware ou maldade que possa acabar com isso.