Comprensione e implementazione dell’autenticazione Smart Card

Una panoramica su autenticazione e Smart Card

Gli amministratori devono proteggere la rete dagli attacchi lanciati da hacker, spie, terroristi, ladri e criminali. La sicurezza comprende numerose tecnologie, protocolli, standard, policy, password e chiavi segrete. Tutti questi meccanismi in genere si concentrano su quanto segue:

• Autenticazione

• Controllo di Accesso

• Protezione dei Dati

• Controllo/Responsabilità

l’Autenticazione è il processo mediante il quale un ente si identifica, prima della rete di accesso è consentito. Dopo l’autenticazione di un utente, il controllo di accesso definisce quali risorse è possibile accedere, quali azioni possono essere eseguite sulla risorsa e se queste azioni sono controllate o meno. Il controllo degli accessi viene implementato specificando le autorizzazioni per risorse e oggetti e assegnando i diritti agli utenti. La protezione dei dati implica due concetti di sicurezza, vale a dire la riservatezza dei dati e l’integrità dei dati. La riservatezza dei dati riguarda la protezione dei dati poiché vengono trasmessi attraverso la rete attraverso l’applicazione di operazioni crittografiche. Gli algoritmi di crittografia e l’utilizzo di chiavi private e pubbliche garantiscono la riservatezza dei dati. Eventuali parti non autorizzate che intercettano il messaggio, non saranno in grado di interpretare il contenuto del messaggio. L’integrità dei dati è implementata attraverso la firma digitale di messaggi e file. Attraverso l’uso delle firme digitali, è possibile determinare se il messaggio è stato manomesso o meno. Da questa breve discussione, puoi vedere che molti concetti e principi sono inclusi quando si parla di sicurezza. Quindi, dove si inseriscono le smart card nel processo di protezione della rete e delle risorse di un’organizzazione da attacchi dannosi. La risposta è l’autenticazione.

Come accennato in precedenza, l’autenticazione è un processo in cui gli utenti o altre entità si identificano in modo che possano tentare di accedere alle risorse di rete. L’autenticazione è il primo passo nel processo di consentire agli utenti di accedere alle risorse di rete. In Active Directory, l’autenticazione dell’utente viene eseguita dall’utente che fornisce le credenziali dell’account utente, ad esempio il nome di accesso dell’utente, la password e l’identificatore di sicurezza dell’utente (SID).

L’autenticazione negli ambienti Windows Server 2003 comporta i seguenti due processi:

• Accesso interattivo: l’accesso interattivo si verifica quando un utente accede al sistema utilizzando una password o una smart card.

• Autenticazione di rete: l’autenticazione di rete si verifica quando un utente è autorizzato ad accedere alle risorse, senza che l’utente debba reinserire questa password o il numero di identificazione personale (PIN) della smart card.

L’utente o l’entità dimostra la propria identità utilizzando un segreto condiviso. Il segreto condiviso può essere uno dei componenti di seguito elencati, e deve essere un segreto tra l’utente che richiede l’autenticazione e l’autenticatore, per l’autenticazione di successo:

• Una password

• Una chiave di crittografia

• Un codice segreto PIN.

I protocolli di autenticazione vengono utilizzati per condividere il segreto tra l’utente e l’autenticatore. L’autenticatore quindi consente l’accesso o nega l’accesso al richiedente. I protocolli di autenticazione che possono essere utilizzati negli ambienti Windows Server 2003 sono elencati di seguito:

• Kerberos versione 5, utilizzato per l’autenticazione di rete. Kerberos versione 5 viene utilizzato per il processo di autenticazione di accesso interattivo e per l’autenticazione di rete in Windows Server 2003.

• Secure Socket Layer / Transport Layer Security (SSL / TLS), utilizzato per l’autenticazione di rete e si basa su certificati a chiave pubblica X. 509.

• Microsoft Windows NT LAN Manager (NTLM), utilizzato per l’autenticazione di rete ma principalmente per la compatibilità con Microsoft Windows NT 4.

• Microsoft Sfida Handshake Authentication Protocol versione 2 (MS-CHAP v2), utilizzato per l’autenticazione di rete e l’autenticazione dial-up.

• Password Authentication Protocol (PAP), utilizzato per l’autenticazione di rete e l’autenticazione dial-up.

• Extensible Authentication Protocol-Transport Level Security (EAP-TLS), utilizzato per l’autenticazione della connessione wireless.

• Extensible Authentication Protocol (EAP), utilizzato per l’autenticazione di rete e l’autenticazione dial-up, e include il supporto per le smart card (hardware enabled Authentication).

L’autenticazione hardware abilitata si verifica quando le chiavi di crittografia sono memorizzate su una smart card, una scheda PC o qualche altro meccanismo di token crittografico e l’utente deve avere la smart card e il PIN o la password per passare l’autenticazione e accedere al sistema. Ciò fornisce un ulteriore livello di sicurezza perché qualsiasi persona non autorizzata che tenta di accedere al sistema, ha bisogno della smart card e del PIN o della password.

Autenticazione Smart card si basa sull’uso di smart card ed è supportato in Windows 2000 e Windows Server 2003. Una smart card è un dispositivo di sicurezza o un token hardware di dimensioni di carta di credito che può essere utilizzato per fornire una protezione aggiuntiva alle applicazioni e ai protocolli di sicurezza.

Smart card forniscono le seguenti caratteristiche:

• Sicuro metodo di autenticazione utente

• accesso Interattivo

• accesso Remoto accessi

• degli accessi da Amministratore

• Sicuro di firma del codice

• Sicuro di e-mail

In ambienti di rete, essi sono tipicamente utilizzati per i seguenti scopi

• l’accesso a un computer

• Crittografia delle e-mail

• la Crittografia dei file su disco tramite EFS

Come accennato in precedenza, smart card l’autenticazione fornisce un’autenticazione molto forte perché l’utente deve possedere la smart card e l’utente deve conoscere il numero di identificazione personale (PIN). È possibile bloccare una smart card dal sistema dopo un numero successivo di tentativi di accesso non riusciti. Per abilitare queste funzionalità, l’autenticazione smart card prevede l’uso di un lettore di smart card collegato al computer. Si consiglia di utilizzare lettori Plug and Play (PnP) con Windows Server 2003. La smart card contiene un microprocessore e una memoria flash permanente che contiene le informazioni di accesso dell’utente, la chiave privata, i certificati digitali e altre informazioni private. Quando l’utente inserisce la smart card nel lettore di smart card, l’utente deve fornire il PIN per accedere al sistema. Le smart card sono progettate per fornire un’autenticazione a prova di manomissione. La differenza tra le smart card e le chiavi private del software è che è possibile spostare le smart card da un computer all’altro.

Il lettore di smart card è solitamente collegato alla porta seriale, alla porta USB o alla porta PCMCIA del computer. Poiché PC, computer portatili e PDA hanno una di queste porte, i lettori di smart card sono supportati da tutti i computer. Le smart card sono disponibili in una serie di forme. La maggioranza però hanno una somiglianza con le carte di credito. Le smart card più avanzate utilizzano la magnetica. Ciò significa che non hanno bisogno di avere contatti esterni. Una forma comune è il dongle che può andare bene in una porta USB. Da qui, vi si accede dal provider di servizi crittografici (CSP). Il modulo dongle non ha bisogno di alcun lettore speciale. La caduta del modulo è che è circa quattro volte più costoso rispetto alle forme di smart card convenzionali. Mentre l’installazione di un’implementazione di smart card può essere complessa e costosa, un altro processo difficile è determinare quale fornitore utilizzare. I driver dei prodotti smart card di Gemplus e Schlumberger sono effettivamente integrati nel sistema operativo.

Considerazioni sulla distribuzione delle Smart Card

L’autenticazione tramite smart card è supportata in Windows 2000 e Windows Server 2003, ma dipende dall’infrastruttura a chiave pubblica (PKI). Il PKI deve esistere prima di poter implementare l’autenticazione della smart card. Si consiglia di utilizzare un’autorità di certificazione aziendale (CA) per l’autenticazione basata su smart card. Le entità CA stand-alone e CA esterne non sono raccomandate per l’uso con l’autenticazione delle smart card.

Mentre ci sono un certo numero di fornitori tra cui scegliere per fornire la tecnologia smart card, ricordate che Windows Server 2003 non supporta on-Plug and Play lettori di smart card. Si consiglia di utilizzare solo Personal Computer / Smart Card (PC/SC) compliant smart card e lettori, anche quando un fornitore fornisce non-Plug and Play lettori di smart card in grado di operare con Windows Server 2003. Oltre all’implementazione di un PKI, ogni computer ha bisogno di un lettore di smart card.

Poiché il costo è sempre un fattore importante, è possibile considerare i fattori elencati di seguito come quelli che influenzano il costo di gestione di un’implementazione di smart card:

• Il numero di utenti che utilizzeranno il programma smart card, nonché dove si trovano questi particolari utenti.

• Il modo in cui gli utenti stanno per essere rilasciato smart card. Devono essere inclusi anche i requisiti per la verifica delle identità degli utenti.

• La procedura da utilizzare quando gli utenti smarrire o danneggiare le smart card che sono stati rilasciati a loro.

Quando si pianifica una soluzione di autenticazione smart card, è necessario definire i metodi di autenticazione e accesso che verranno utilizzati. Ciò includerebbe:

• Identificare le strategie di autenticazione che stanno per essere implementate.

• Dipendenze PKI.

• Eventuali problemi di distribuzione smart card.

Preparazione del PKI per l’implementazione di una Smart Card

Come accennato in precedenza, le smart card dipendono dall’implementazione di un PKI. Le smart card necessitano di certificati per gestire quali utenti possono autenticarsi utilizzando le smart card. I certificati vengono utilizzati per verificare le identità di utenti, applicazioni, computer e servizi e possono essere utilizzati per proteggere la posta elettronica, per l’autenticazione del codice Web e dell’applicazione e per consentire l’uso di smart card. Un’autorità di certificazione (CA) rilascia certificati agli utenti e ad altre entità.

Il certificato di solito contiene le seguenti informazioni:

• Il numero di serie del certificato

• Informazioni che identificano l’utente.

• Informazioni che identificano la CA che ha rilasciato il certificato.

• La chiave pubblica dell’utente

• Il periodo di validità del certificato

• Il nome distinto del server CA di emissione

La capacità dell’infrastruttura PKI per il supporto di smart card è una caratteristica attraente di Windows PKI attuazione. Per implementare le smart card, uno dei primi passi consiste nell’installare i servizi di certificato su un server all’interno dell’ambiente e configurare il server come CA aziendale. Successivamente, è necessario creare tre modelli di certificato per abilitare l’uso delle smart card all’interno dell’organizzazione. I modelli di certificato possono essere definiti come un insieme di regole e impostazioni che specificano il contenuto e il formato dei certificati emessi, in base all’uso previsto. È possibile configurare i modelli di certificato sul CAS all’interno dell’implementazione PKI. Il modello di certificato viene applicato quando un utente richiede un certificato dalla CA. Solo Windows Server 2003 enterprise CAs utilizza modelli di certificato memorizzati in Active Directory per creare certificati per utenti e computer.

Per l’implementazione di una smart card, è necessario creare i seguenti tre modelli di certificato:

• Certificato agente di registrazione: questo modello di certificato consente a un computer Windows Server 2003 di fungere da stazione di registrazione. La stazione di registrazione crea ed emette certificati per gli utenti di smart card.

• Il certificato di accesso Smart Card: Questo modello di certificato consente agli utenti di autenticarsi utilizzando le smart card.

• Certificati utente Smart Card: Questo modello di certificato consente agli utenti di proteggere la posta elettronica dopo l’autenticazione.

Implementazione di Smart Card

I passaggi tipici per l’implementazione di una soluzione di smart card in un’organizzazione sono elencati di seguito. I passaggi effettivi sono determinati dal modo in cui le smart card vengono utilizzate nel PKI:

• Configurare una stazione di registrazione

• Definire i modelli di certificato necessari per la CA e Active Directory.

• Definire agenti di registrazione che emetterà una smart card

• Preparare la smart card

• Problema certificatesto la smart card per gli utenti

• Configurare il server di accesso remoto di accettare l’autenticazione con smart card

• Registrare il server per i certificati del Computer

Perché i modelli di certificato di usato smart card non sono installati su di un enterprise CA per impostazione predefinita, è necessario utilizzare la console di Autorità di Certificazione per configurare questi modelli di certificato. Oltre a ciò, è necessario assegnare agli utenti le autorizzazioni corrette per i modelli di certificato. Per modificare le autorizzazioni per un modello di certificato, è necessario essere un membro del gruppo Domain Admins nel dominio radice della foresta o un membro del gruppo Enterprise Admins.

Come impostare le autorizzazioni sui modelli di certificato

1. Fare clic su Start, Esegui e immettere certtmpl.msc nella finestra di dialogo Esegui. Fare clic su OK.

2. Individuare e fare clic con il pulsante destro del mouse sul certificato di cui si desidera modificare le autorizzazioni, quindi fare clic su Proprietà nel menu di scelta rapida.

3. Fare clic sulla scheda Sicurezza.

4. Assegnare utenti e gruppi che devono richiedere certificati basati sul modello di certificato specifico, le autorizzazioni di lettura e registrazione.

5. Fare clic su OK.

Il server certificati incluso in Windows Server 2003 include una stazione di registrazione smart card che può essere utilizzata per distribuire i certificati agli utenti. È possibile utilizzare la stazione di registrazione smart card per richiedere un certificato smart card per conto dell’utente. Questo a sua volta consente di preinstallarlo sulla smart card dell’utente. Prima che gli utenti possano richiedere i certificati, è necessario preparare la stazione di registrazione per creare i certificati. Il primo passo per preparare la CA all’emissione di certificati smart card consiste nella creazione del certificato Agente di registrazione.

Come creare il certificato dell’agente di registrazione

1. Fare clic su Start, Strumenti di amministrazione, quindi su Autorità di certificazione.

2. Nella struttura della console, espandere Autorità di certificazione, < Nome server> e Modelli di certificato.

3. Fare clic su Nuovo, quindi Certificato da emettere dal menu Azione.

4. Scegliere Modello agente di registrazione. Fare clic su OK.

5. Nel menu Azione, fare clic su Nuovo, quindi Certificato da emettere dal menu Azione

   • Se si desidera creare certificati per l’autenticazione utente, scegliere il modello di certificato di accesso Smart Card. Fare clic su OK.

   • Se si desidera creare certificati per l’autenticazione dell’utente e per la crittografia delle informazioni dell’utente, scegliere il modello di certificato utente Smart Card. Fare clic su OK.

6. I modelli di certificato dovrebbero ora essere visualizzati nella finestra della console

7. Chiudere la console Autorità di certificazione.

Come creare una stazione di registrazione del certificato smart card

1. Accedere alla macchina

2. Fare clic su Start, Esegui e immettere mmc nella finestra di dialogo Esegui. Fare clic su OK

3. Dal menu File, fare clic su Aggiungi / Rimuovi snap-in, quindi fare clic su Aggiungi.

4. Fare doppio clic sullo snap-in certificati. Fare clic su OK.

5. Fare clic su Chiudi.

6. Nello snap-in Certificati, espandere Certificati, Utente corrente e quindi Personale.

7. Selezionare Tutte le attività, quindi Richiedere un nuovo certificato dal menu Azione.

8. All’avvio della procedura guidata Richiesta certificato, fare clic su Avanti.

9. Quando si apre la pagina Tipi di certificato, fare clic su Agente di registrazione e quindi su Avanti.

10. Nella pagina Nome descrittivo del certificato e descrizione, immettere una descrizione per il certificato. Fare clic su Avanti.

11. Quando si apre la pagina di riepilogo, fare clic su Fine.

L’impostazione degli utenti per utilizzare le smart card include l’acquisto e l’installazione di lettori di smart card per tutte le workstation utente. L’installazione di lettori di smart card compatibili Plug and Play è di solito un’installazione hardware semplice.

I lettori di smart card supportati da Windows XP e Windows Server 2003 sono elencati di seguito.

• American Express, GCR435 – USB port

• Bull, SmarTLP3 – serial port

• Compaq, Serial reader – serial port

• Gemplus, GCR410P – serial port

• Gemplus, GPR400 – PCMCIA port

• Gemplus, GemPC430 – USB port

• Hewlett-Packard, ProtectTools, – serial port

• Litronic, 220P, – serial port

• Schlumberger, Reflex 20 – PCMCIA port

• Schlumberger, Reflex 72 – serial port

• Schlumberger, Reflex Lite – serial port

• SCM Microsystems, SCR111 – serial port

• SCM Microsystems, SCR120 – PCMCIA port

• SCM Microsystems, SCR200 – serial port

• SCM Microsystems, SCR300 – USB port

• Systemneeds, External – serial port

• Omnikey AG, 2010 – serial port

• Omnikey AG, 2020 – USB port

• Omnikey AG, 4000 – PCMCIA port

Some smart card i driver di reader sono preinstallati in Windows Server 2003, mentre altri non lo sono. È possibile installare un lettore di smart card sul computer collegando il lettore di smart card a una porta seriale o USB. Per i computer portatili, inserire il lettore di smart card in uno slot PCMCIA.

Dopo aver installato il lettore di smart card, la Stazione di registrazione deve essere utilizzata per le seguenti attività:

• Installare i certificati di accesso smart card o utente per le smart card degli utenti.

• Impostare il PIN iniziale per l’utente.

Quando i lettori di smart card sono installati, il passo successivo è quello di emettere certificati di smart card per gli utenti. Questo processo è noto come registrazione. Prima di registrare un utente e rilasciarlo con smart card, è necessario informare gli utenti su questi punti:

• Gli utenti dovrebbero astenersi dal piegare la smart card perché possono danneggiare i meccanismi interni della smart card.

• Gli utenti dovrebbero proteggere il chip smart card esterno da graffi o ammaccature. Il lettore di smart card potrebbe non essere in grado di leggere le informazioni memorizzate sulla scheda se è danneggiato in questo modo.

• Gli utenti dovrebbero conservare le loro smart card in un luogo fresco e asciutto e al sicuro da qualsiasi altra fonte magnetica come le carte di credito. Temperature calde eccessive potrebbero causare la smart card diventando fragile e fragile.

Per registrare un utente smart card,

1. Accedere alla workstation utilizzando un account utente che dispone dei diritti necessari nel modello di certificato Agente di registrazione per il dominio contenente l’account utente.

2. Aprire Internet Explorer e accedere alla CA inserendo http://CA nome server / certsrv.

3. Nella pagina di benvenuto, fare clic su Richiedi un certificato

4. Nella pagina Richiedi un certificato, fare clic su Richiesta certificato avanzata.

5. Nella pagina Richiesta certificato avanzata, scegliere l’opzione Richiedi un certificato per una Smart Card per conto di un altro utente.

6. Nella pagina Stazione di registrazione certificato Smart Card, scegliere di creare una delle seguenti opzioni:

   • Certificato di accesso Smart card

   • Certificato utente Smart card

7. Nella casella di riepilogo Autorità di certificazione, scegliere il nome della CA per il dominio che deve emettere i certificati smart card.

8. Nella casella di riepilogo Provider di servizi crittografici, immettere il nome del fornitore utilizzato per le smart card.

9. Nella casella Certificato di firma dell’amministratore, immettere il nome del certificato Agente di registrazione che firmerà la richiesta di registrazione del certificato. Fare clic su Avanti.

10. Nella pagina Utente da registrare, fare clic su Seleziona utente per trovare l’account utente per cui si desidera creare un certificato smart card e fare clic su Registra.

11. Posizionare la smart card dell’utente nel lettore di smart card e fare clic su OK.

12. Procedere per inserire il PIN iniziale per la smart card.

13. Fare clic su Visualizza certificato per verificare che il certificato sia stato rilasciato all’utente specificato.

Un server di accesso remoto Windows 2000 o Windows Server 2003 supporta l’accesso alla smart card. Per abilitare l’accesso alla smart card per questi server, è necessario configurare il servizio RRAS in modo che utilizzi l’Extensible Authentication Protocol (EAP). Quindi, è necessario specificare l’accesso alla smart card come metodo EAP.

Per configurare un server di accesso remoto Windows 2000 o Windows Server 2003 per l’accesso alle smart card,

1. Aprire la console RRAS da Toos amministrativi.

2. Procedere per aprire la finestra di dialogo Proprietà del server di accesso remoto che dovrebbe accettare l’accesso alla smart card.

3. Fare clic sulla scheda Sicurezza.

4. Fare clic su Autenticazione di Windows e fare clic su Metodi di autenticazione.

5. Scegliere l’opzione Extensible Authentication Protocol (EAP).

6. Fare clic su Metodi EAP.

7. Utilizzare l’elenco disponibile per trovare e fare doppio clic su Smart Card o Altro certificato. Fare clic su OK.

8. Procedere per deselezionare le altre opzioni di autenticazione. Fare clic su OK.

9. Nella finestra di dialogo Proprietà del server, fare clic su OK.

10. Nella console RRAS, individuare i criteri di accesso remoto nella struttura della console.

11. Fare doppio clic su Consenti accesso se l’autorizzazione dial-in è abilitata.

12. Quando si apre la finestra di dialogo Proprietà, fare clic su Modifica profilo.

13. Fare clic sulla scheda Autenticazione.

14. Fare clic su Metodi EAP.

15. Quando si apre la finestra di dialogo Seleziona provider EAP, fare clic su Aggiungi.

16. Nella finestra di dialogo Aggiungi EAP, scegliere l’opzione Smart Card o Altro certificato.

17. Fare clic su OK.

18. Nella finestra di dialogo Seleziona provider EAP, fare clic su Modifica.

19. Quando si apre la finestra di dialogo Smart Card o Altre proprietà del certificato, nella casella Certificato emesso in, scegliere il certificato del computer rilasciato al server specifico.

20. Fare clic su OK e chiudere tutte le finestre di dialogo aperte.

È possibile abilitare alcune impostazioni dei criteri in Criteri di gruppo che possono aiutare a semplificare l’amministrazione delle smart card nel proprio ambiente:

• Soglia di blocco account: è possibile utilizzare le impostazioni di questo criterio per proteggere il processo di autenticazione della smart card da attacchi di password.

• Non consentire il reindirizzamento del dispositivo smart card: se abilitato, gli utenti non saranno in grado di utilizzare le smart card per accedere a un server di Servizi Terminal.

• Sulla rimozione della smart card: è possibile utilizzare questa impostazione per impedire agli utenti di eseguire sessioni attive incustodite. Utilizzare queste impostazioni per specificare che le sessioni degli utenti sono bloccate o disconnesse quando rimuovono le smart card dal lettore di smart card.

• Smart card necessaria per l’accesso interattivo: quando abilitato, un utente può accedere al computer locale solo utilizzando l’autenticazione smart card. L’utente non può utilizzare un account utente e fornire il nome utente e le credenziali della password per accedere.