Porozumění a implementace ověřování čipových karet

přehled autentizačních a čipových karet

Administrátoři musí zabezpečit síť před útoky hackerů, špionů, teroristů, zlodějů a zločinců. Zabezpečení zahrnuje řadu technologií, protokolů, standardů, zásad, hesel a tajných klíčů. Všechny tyto mechanismy se obvykle zaměřují na následující:

• autentizace

• řízení přístupu

• Ochrana údajů

• audit / odpovědnost

ověřování je proces, kterým se entita identifikuje před povolením přihlášení k síti. Po ověření uživatele definuje řízení přístupu, k jakým prostředkům lze přistupovat, jaké akce lze na zdroji provádět a zda jsou tyto akce auditovány nebo ne. Řízení přístupu je implementováno zadáním oprávnění pro zdroje a objekty a přiřazením práv uživatelům. Ochrana dat zahrnuje dva bezpečnostní koncepty, jmenovitě důvěrnost dat a integritu dat. Důvěrnost dat se zabývá zabezpečením dat, která jsou přenášena po síti pomocí kryptografických operací. Šifrovací algoritmy a využití soukromých a veřejných klíčů poskytují důvěrnost dat. Jakékoli neoprávněné strany zachycující zprávu nebudou schopny interpretovat obsah zprávy. Integrita dat je realizována prostřednictvím digitálního podepisování zpráv a souborů. Pomocí digitálních podpisů můžete určit, zda byla zpráva manipulována nebo ne. Z této krátké diskuse můžete vidět, že při diskusi o bezpečnosti je zahrnuto mnoho konceptů a principů. Kde tedy čipové karty zapadají do procesu zabezpečení sítě a zdrojů organizace před škodlivými útoky. Odpověď je autentizace.

jak již bylo zmíněno, ověřování je proces, při kterém se uživatelé nebo jiné subjekty identifikují, aby se mohli pokusit o přístup k síťovým prostředkům. Ověřování je prvním krokem v procesu umožnění přístupu uživatelů k síťovým prostředkům. Ve službě Active Directory dochází k ověření uživatele uživatelem, který poskytuje přihlašovací údaje k Uživatelskému účtu, jako je přihlašovací jméno uživatele, heslo a bezpečnostní identifikátor uživatele (SID).

ověřování v prostředích Windows Server 2003 zahrnuje následující dva procesy:

• interaktivní přihlášení: interaktivní přihlášení nastane, když se uživatel přihlásí do systému pomocí hesla nebo čipové karty.

• ověřování sítě: k ověřování sítě dochází, když je uživateli povolen přístup ke zdrojům, aniž by uživatel musel znovu zadávat toto heslo nebo osobní identifikační číslo (PIN) čipové karty.

uživatel nebo entita prokáže svou identitu pomocí sdíleného tajemství. Sdílené tajemství může být jednou z níže uvedených součástí a musí být tajemstvím mezi uživatelem požadujícím ověření, a ověřovatel, aby byla autentizace úspěšná:

• heslo

• šifrovací klíč

• tajný PIN

autentizační protokoly se používají ke sdílení tajemství mezi uživatelem a authenticator. Ověřovatel pak buď povolí přístup, nebo odepře přístup žadatele. Protokoly ověřování, které lze použít v prostředích Windows Server 2003, jsou uvedeny níže:

• Kerberos verze 5, Používá se pro ověřování sítě. Kerberos verze 5 se používá pro interaktivní autentizační proces přihlášení a pro ověřování sítě v systému Windows Server 2003.

• Secure Socket Layer/Transport Layer Security (SSL / TLS), který se používá pro ověřování sítě a je založen na certifikátech veřejného klíče x.509.

• Microsoft Windows NT LAN Manager (NTLM), používaný pro ověřování sítě, ale hlavně pro kompatibilitu s Microsoft Windows NT 4.

• Microsoft Challenge Handshake Authentication Protocol verze 2 (MS-CHAP v2), který se používá pro ověřování sítě a dial-up ověřování.

• Pap (Password Authentication Protocol), používaný pro autentizaci sítě a dial-up autentizaci.

• Extensible Authentication Protocol-Transport Level Security (EAP-TLS), používaný pro ověřování bezdrátového připojení.

• Extensible Authentication Protocol (EAP), který se používá pro ověřování sítě a dial-up ověřování, a zahrnuje podporu pro čipové karty (hardware povoleno ověřování).

hardwarově povolená autentizace nastane, když jsou šifrovací klíče uloženy na čipové kartě, PC kartě nebo jiném mechanismu kryptografických tokenů a uživatel musí mít čipovou kartu a PIN nebo heslo, aby mohl projít autentizací a přistupovat k systému. To poskytuje další úroveň zabezpečení, protože jakékoli neoprávněné osoby, které se pokoušejí o přístup do systému, potřebují čipovou kartu a PIN nebo heslo.

ověřování čipových karet je založeno na použití čipových karet a je podporováno v systémech Windows 2000 a Windows Server 2003. Čipová karta je bezpečnostní zařízení nebo hardwarový token velikosti kreditní karty, který lze použít k zajištění dodatečné ochrany aplikací a bezpečnostních protokolů.

čipové karty poskytují následující funkce:

• bezpečná metoda ověřování uživatelů

• interaktivní přihlášení

• přihlášení vzdáleného přístupu

• přihlášení administrátora

• bezpečné podepisování kódu

• zabezpečený e-mail

v síťových prostředích se obvykle používají pro následující účely

• přihlášení k počítači

• šifrování e-mailu

• šifrování diskových souborů prostřednictvím EFS

jak již bylo zmíněno, čipová karta autentizace poskytuje velmi silnou autentizaci, protože uživatel musí mít čipovou kartu a uživatel musí znát osobní identifikační číslo (PIN). Čipovou kartu můžete zablokovat ze systému Poté, co byl proveden postupný počet neúspěšných pokusů o přihlášení. Chcete-li tyto funkce povolit, ověřování čipových karet zahrnuje použití čtečky čipových karet, která je připojena k počítači. Doporučuje se používat Čtečky Plug and Play (PnP) se systémem Windows Server 2003. Čipová karta obsahuje mikroprocesor a permanentní flash paměť, která obsahuje přihlašovací údaje uživatele, soukromý klíč, digitální certifikáty a další soukromé informace. Když uživatel vloží čipovou kartu do čtečky čipových karet, uživatel musí poskytnout PIN pro přihlášení do systému. Čipové karty jsou navrženy tak, aby poskytovaly autentizaci odolnou proti neoprávněné manipulaci. Rozdíl mezi čipovými kartami a softwarovými soukromými klíči spočívá v tom, že můžete přesouvat čipové karty z jednoho počítače do počítače.

čtečka čipových karet je obvykle připojena k sériovému portu, portu USB nebo portu PCMCIA počítače. Protože počítače, přenosné počítače a PDA mají jeden z těchto portů, čtečky čipových karet jsou podporovány všemi počítači. Čipové karty jsou k dispozici v několika formách. Většina však má podobnost s kreditními kartami. Pokročilejší čipové karty využívají magnetiku. To znamená, že nemusí mít externí kontakty. Běžnou formou je dongle, který se vejde do USB portu. Odtud je přístupný poskytovatelem kryptografických služeb (CSP). Formulář dongle nepotřebuje žádnou speciální čtečku. Pádem formuláře je, že je zhruba čtyřikrát dražší než běžné formy čipových karet. Zatímco instalace implementace čipové karty může být složitá a nákladná, dalším obtížným procesem je určení, kterého dodavatele použít. Ovladače produktů čipových karet od Gemplus a Schlumberger jsou skutečně zabudovány do operačního systému.

úvahy o nasazení čipových karet

autentizace prostřednictvím čipových karet je podporována v systémech Windows 2000 a Windows Server 2003, ale je závislá na infrastruktuře veřejného klíče (PKI). PKI musí existovat, než budete moci implementovat ověřování čipových karet. Pro autentizaci založenou na čipových kartách se doporučuje použít podnikovou certifikační autoritu (CA). Samostatné CAs a externí CA entity se nedoporučují pro použití s ověřením čipovou kartou.

i když existuje celá řada dodavatelů z čeho vybírat, aby vaše technologie čipových karet, nezapomeňte, že Windows Server 2003 nepodporuje on-Plug and Play čtečky čipových karet. Doporučuje se používat pouze osobní počítač/čipové karty (PC/SC) kompatibilní čipové karty a čtečky, i když dodavatel poskytuje non-Plug and Play čtečky čipových karet, které mohou pracovat s Windows Server 2003. Kromě implementace PKI potřebuje každý počítač čtečku čipových karet.

protože cena je vždy důležitým faktorem, můžete níže uvedené faktory považovat za faktory, které ovlivňují náklady na správu implementace čipových karet:

• počet uživatelů, kteří budou používat program čipových karet, a také to, kde se tito konkrétní uživatelé nacházejí.

• způsob, jakým budou uživatelům vydávány čipové karty. Měly by být rovněž zahrnuty požadavky na ověření totožnosti uživatelů.

• postup, který se použije, když uživatelé ztratí nebo poškodí čipové karty, které jim byly vydány.

při plánování řešení ověřování čipových karet musíte definovat metody ověřování a přihlášení, které budou použity. To by zahrnovalo:

• identifikace autentizačních strategií, které budou implementovány.

• PKI závislosti.

• jakékoli problémy s nasazením čipových karet.

Příprava PKI pro implementaci čipových karet

jak již bylo zmíněno, čipové karty jsou závislé na implementaci PKI. Čipové karty potřebují certifikáty ke správě uživatelů, kteří se mohou pomocí čipových karet autentizovat. Certifikáty se používají k ověření totožnosti uživatelů, aplikací, počítačů a služeb; a mohou být použity k zabezpečení e-mailu, k ověřování kódu webu a aplikací a k umožnění používání čipových karet. Certifikační autorita (CA) vydává certifikáty uživatelům a dalším subjektům.

certifikát obvykle obsahuje následující informace:

• sériové číslo certifikátu

• informace, které identifikují uživatele.

• informace, které identifikují CA, která certifikát vydala.

• veřejný klíč uživatele

• doba platnosti certifikátu

• významný název vydávajícího serveru CA

schopnost PKI podporovat čipové karty je atraktivní vlastností implementace Windows PKI. Chcete-li implementovat čipové karty, jedním z prvních kroků je instalace certifikačních služeb na server ve vašem prostředí a konfigurace serveru jako podnikové CA. Poté budete muset vytvořit tři šablony certifikátů, které umožní použití čipových karet ve vaší organizaci. Šablony certifikátů lze definovat jako soubor pravidel a nastavení, která určují obsah a formát certifikátů, které jsou vydávány, na základě zamýšleného použití. Šablony certifikátů konfigurujete na CAs v rámci implementace PKI. Šablona certifikátu se použije, když uživatel požaduje certifikát od CA. Pouze Windows Server 2003 enterprise CAs využívá šablony certifikátů uložené ve službě Active Directory k vytváření certifikátů pro uživatele a počítače.

pro implementaci čipových karet je třeba vytvořit následující tři šablony certifikátů:

• certifikát agenta zápisu: tato šablona certifikátu umožňuje počítači se systémem Windows Server 2003 sloužit jako registrační stanice. Registrační stanice vytváří a vydává certifikáty uživatelům čipových karet.

• certifikát Smart Card Logon: tato šablona certifikátu umožňuje uživatelům autentizovat pomocí čipových karet.

• Uživatelské Certifikáty Čipových Karet: Tato šablona certifikátu umožňuje uživatelům zabezpečit e-mail po ověření.

implementace čipových karet

typické kroky pro implementaci řešení čipových karet v organizaci jsou uvedeny níže. Skutečné kroky jsou určeny způsobem, jakým jsou čipové karty používány v PKI:

• konfigurace registrační stanice

• Definujte potřebné šablony certifikátů pro CA a Active Directory.

• Definujte registrační agenty, kteří budou vydávat čipové karty

• připravte čipové karty

• vydání certifikátů na čipovou kartu pro uživatele

• nakonfigurujte servery vzdáleného přístupu tak, aby přijímaly ověřování čipových karet

• zaregistrujte servery pro počítačové certifikáty

protože šablony certifikátů používané čipovými kartami nejsou ve výchozím nastavení nainstalovány v podnikové CA, budete muset ke konfiguraci těchto šablon certifikátů použít konzolu certifikační autority. Kromě toho musíte uživatelům přiřadit správná oprávnění pro šablony certifikátů. Chcete-li změnit oprávnění pro šablonu certifikátu, musíte být členem skupiny Domain Admins v kořenové doméně forest nebo členem skupiny Enterprise Admins.

jak nastavit oprávnění k šablonám certifikátů

1. klikněte na Start, Spustit a zadejte certtmpl.msc v dialogovém okně Spustit. Klikněte na OK.

2. Vyhledejte a klepněte pravým tlačítkem myši na certifikát, jehož oprávnění chcete upravit, a poté v místní nabídce klikněte na Vlastnosti.

3. klikněte na kartu Zabezpečení.

4. přiřaďte uživatelům a skupinám, kteří potřebují požádat o certifikáty, které jsou založeny na konkrétní šabloně certifikátu, oprávnění ke čtení a zápisu.

5. klikněte na OK.

server certifikátů obsažený v systému Windows Server 2003 obsahuje stanici pro registraci čipových karet, kterou lze použít k distribuci certifikátů uživatelům. Pomocí stanice pro zápis čipových karet můžete jménem uživatele požádat o certifikát čipové karty. To zase umožňuje předinstalovat na čipovou kartu uživatele. Než uživatelé mohou požádat o certifikáty, musíte připravit registrační stanici k vytvoření certifikátů. Prvním krokem při přípravě CA na vydávání certifikátů čipových karet je vytvoření certifikátu agenta registrace.

jak vytvořit certifikát registračního agenta

1. klikněte na Start, Nástroje pro správu a poté na certifikační autoritu.

2. ve stromu konzoly rozbalte certifikační autoritu, <název serveru> a šablony certifikátů.

3. klepněte na tlačítko Nový a poté certifikát vydat z nabídky Akce.

4. vyberte šablonu agenta registrace. Klikněte na OK.

5. v nabídce Akce klikněte na nový a poté na certifikát, který chcete vydat z nabídky Akce

   • Chcete – li vytvořit certifikáty pro ověření uživatele, vyberte šablonu certifikátu přihlášení k čipové kartě. Klikněte na OK.

   • Chcete-li vytvořit certifikáty pro ověřování uživatelů a pro šifrování informací o uživateli, vyberte šablonu uživatelského certifikátu čipové karty. Klikněte na OK.

6. šablony certifikátů by se nyní měly zobrazit v okně konzoly

7. Zavřete konzolu certifikační autority.

jak vytvořit stanici pro zápis certifikátu čipové karty

1. přihlaste se ke stroji

2. v dialogovém okně Spustit klikněte na Start, Spustit a zadejte mmc. Klikněte na OK

3. v nabídce Soubor klikněte na Přidat/odebrat modul Snap-in a poté na Přidat.

4. Poklepejte na modul snap-in certifikáty. Klikněte na OK.

5. Klikněte Na Zavřít.

6. v modulu snap-in certifikáty rozbalte certifikáty, Aktuální uživatel a poté osobní.

7. Vyberte všechny úkoly a v nabídce Akce požádejte o nový certifikát.

8. po spuštění Průvodce požadavkem na certifikát klepněte na tlačítko Další.

9. když se otevře stránka typy certifikátů, klikněte na Agent registrace a poté na tlačítko Další.

10. na stránce název a popis přátelské k certifikátu zadejte popis certifikátu. Klikněte Na Další.

11. po otevření souhrnné stránky klikněte na Dokončit.

Nastavení uživatelů pro využívání čipových karet zahrnuje nákup a instalaci čteček čipových karet pro všechny uživatelské pracovní stanice. Instalace čteček čipových karet, které jsou kompatibilní s Plug and Play, je obvykle nekomplikovaná instalace hardwaru.

čtečky čipových karet podporované systémy Windows XP a Windows Server 2003 jsou uvedeny níže.

• American Express, GCR435 – USB port

• Bull, SmarTLP3 – serial port

• Compaq, Serial reader – serial port

• Gemplus, GCR410P – serial port

• Gemplus, GPR400 – PCMCIA port

• Gemplus, GemPC430 – USB port

• Hewlett-Packard, ProtectTools, – serial port

• Litronic, 220P, – serial port

• Schlumberger, Reflex 20 – PCMCIA port

• Schlumberger, Reflex 72 – serial port

• Schlumberger, Reflex Lite – serial port

• SCM Microsystems, SCR111 – serial port

• SCM Microsystems, SCR120 – PCMCIA port

• SCM Microsystems, SCR200 – serial port

• SCM Microsystems, SCR300 – USB port

• Systemneeds, External – serial port

• Omnikey AG, 2010 – serial port

• Omnikey AG, 2020 – USB port

• Omnikey AG, 4000 – PCMCIA port

Some smart card ovladače čtečky jsou předinstalovány v systému Windows Server 2003, zatímco jiné nejsou. Čtečku čipových karet můžete do počítače nainstalovat připojením čtečky čipových karet k sériovému portu nebo portu USB. U notebooků vložte čtečku čipových karet do slotu PCMCIA.

po instalaci čtečky čipových karet musí být registrační stanice použita pro následující úkoly:

• nainstalujte smart card logon nebo uživatelské certifikáty pro čipové karty vašich uživatelů.

• nastavte počáteční PIN pro uživatele.

po instalaci čteček čipových karet je dalším krokem vydávání certifikátů čipových karet uživatelům. Tento proces se nazývá zápis. Před přihlášením uživatele, a vydání uživatele pomocí čipové karty, měli byste uživatele vzdělávat v těchto bodech:

• uživatelé by se měli zdržet ohýbání čipové karty, protože mohou poškodit vnitřní mechanismy čipové karty.

• uživatelé by měli chránit čip externí čipové karty před poškrábáním nebo promáčknutím. Čtečka čipových karet nemusí být schopna číst informace uložené na kartě, pokud jsou tímto způsobem poškozeny.

• uživatelé by měli své čipové karty ukládat na chladném suchém místě a v bezpečí před jinými magnetickými zdroji, jako jsou kreditní karty. Nadměrné horké teploty by mohly vést k tomu, že by se čipová karta stala křehkou a rozbitnou.

přihlášení uživatele čipové karty,

1. přístup k pracovní stanici pomocí uživatelského účtu, který má potřebná práva v šabloně certifikátu Agent registrace pro doménu obsahující uživatelský účet.

2. Otevřete aplikaci Internet Explorer a otevřete CA zadáním http://CA název serveru / certsrv.

3. na úvodní stránce klikněte na Požádat o certifikát

4. na stránce žádost o certifikát klikněte na upřesnit požadavek na certifikát.

5. na stránce Advanced Certificate Request vyberte možnost požádat o certifikát pro čipovou kartu jménem jiného uživatele.

6. na stránce Smart Card Certificate registration Station vyberte, zda chcete vytvořit jednu z následujících možností:

   • přihlašovací certifikát čipové karty

   • uživatelský certifikát čipové karty

7. v seznamu certifikačních autorit vyberte název CA pro doménu, která by měla vydávat certifikáty čipových karet.

8. do seznamu poskytovatelů kryptografických služeb zadejte jméno dodavatele, kterého používáte pro čipové karty.

9. do pole osvědčení o podpisu správce zadejte název certifikátu agenta pro registraci, který podepíše žádost o registraci certifikátu. Klikněte Na Další.

10. na stránce User to Enroll klikněte na Select User a vyhledejte uživatelský účet, pro který chcete vytvořit certifikát čipové karty, a klepněte na tlačítko Zapsat.

11. umístěte čipovou kartu uživatele do čtečky čipových karet a klikněte na OK.

12. pokračujte v zadávání počátečního kódu PIN pro čipovou kartu.

13. kliknutím na Zobrazit certifikát ověřte, zda byl certifikát vydán uživateli, kterého jste zadali.

vzdálený přístupový server systému Windows 2000 nebo Windows Server 2003 podporuje přihlášení k čipové kartě. Chcete-li povolit přihlášení k čipové kartě pro tyto servery, musíte nakonfigurovat službu RRAS tak, aby používala Extensible Authentication Protocol (EAP). Poté musíte zadat přihlášení k čipové kartě jako metodu EAP.

konfigurace serveru vzdáleného přístupu systému Windows 2000 nebo Windows Server 2003 pro přihlášení k čipové kartě,

1. otevřete konzolu RRAS z administrativních Toos.

2. pokračujte v otevření dialogového okna Vlastnosti serveru vzdáleného přístupu, který by měl přijímat přihlášení k čipové kartě.

3. klikněte na kartu Zabezpečení.

4. klikněte na ověřování systému Windows a klikněte na metody ověřování.

5. vyberte možnost Extensible Authentication Protocol (EAP).

6. klikněte na metody EAP.

7. pomocí dostupného seznamu Vyhledejte a poklepejte na čipovou kartu nebo jiný certifikát. Klikněte na OK.

8. pokračujte v zrušení výběru dalších možností ověřování. Klikněte na OK.

9. v dialogovém okně Vlastnosti serveru klepněte na tlačítko OK.

10. v konzole RRAS vyhledejte zásady vzdáleného přístupu ve stromu konzoly.

11. Poklepejte na Povolit přístup, pokud je povoleno oprávnění k vytáčení.

12. po otevření dialogového okna Vlastnosti klikněte na Upravit profil.

13. klikněte na kartu ověřování.

14. klikněte na metody EAP.

15. když se otevře dialogové okno Vybrat poskytovatele EAP, klepněte na tlačítko Přidat.

16. v dialogovém okně Přidat EAP vyberte možnost čipová karta nebo jiný certifikát.

17. klikněte na OK.

18. v dialogovém okně vybrat poskytovatele EAP klikněte na Upravit.

19. když se otevře dialogové okno čipová karta nebo jiné vlastnosti certifikátu, v poli certifikát vydaný do vyberte počítačový certifikát vydaný konkrétnímu serveru.

20. klepněte na tlačítko OK a zavřete všechna otevřená dialogová okna.

v Zásadách skupiny můžete povolit určitá nastavení zásad, která mohou pomoci zjednodušit správu čipových karet ve vašem prostředí:

• práh uzamčení účtu: nastavení těchto zásad můžete použít k ochraně procesu ověřování čipové karty před útoky heslem.

• nedovolte přesměrování zařízení čipových karet: pokud je povoleno, uživatelé nebudou moci používat čipové karty k přihlášení k serveru terminálových služeb.

• na čipové karty odebrání: můžete použít toto nastavení, aby se zabránilo uživatelům běží bezobslužné aktivní relace. Pomocí těchto nastavení určete, že relace uživatelů jsou uzamčeny nebo odhlášeny, když vyjmou své čipové karty ze čtečky čipových karet.

• čipová karta požadovaná pro interaktivní přihlášení: pokud je povoleno, uživatel se může přihlásit k místnímu počítači pouze pomocí autentizace čipovou kartou. Uživatel nemůže používat uživatelský účet a zadat přihlašovací údaje k uživatelskému jménu a heslu.