Forståelse og implementering af Smart Card Authentication

en oversigt over godkendelse og smartkort

administratorer skal sikre netværket mod angreb lanceret af hackere, spioner, terrorister, tyve og kriminelle. Sikkerhed omfatter adskillige teknologier, protokoller, standarder, politikker, adgangskoder og hemmelige nøgler. Alle disse mekanismer fokuserer typisk på følgende:

• godkendelse

• adgangskontrol

• databeskyttelse

• revision / ansvarlighed

godkendelse er den proces, hvormed en enhed identificerer sig selv, før netværkslogon er tilladt. Når en bruger er godkendt, definerer adgangskontrol, hvilke ressourcer der kan tilgås, hvilke handlinger der kan udføres på ressourcen, og om disse handlinger revideres eller ej. Adgangskontrol implementeres ved at angive tilladelser til ressourcer og objekter og tildele rettigheder til brugere. Databeskyttelse involverer to sikkerhedskoncepter, nemlig datafortrolighed og dataintegritet. Datafortrolighed handler om at sikre data, da de overføres via netværket gennem anvendelse af kryptografiske operationer. Krypteringsalgoritmer og brugen af private og offentlige nøgler giver data fortrolighed. Eventuelle uautoriserede parter, der opfanger meddelelsen, vil ikke være i stand til at fortolke indholdet af meddelelsen. Dataintegritet implementeres gennem digital signering af meddelelser og filer. Ved hjælp af digitale signaturer kan du bestemme, om meddelelsen blev manipuleret eller ej. Fra denne korte diskussion kan du se, at mange begreber og principper er inkluderet, når man diskuterer sikkerhed. Så hvor passer smartkort ind i processen med at sikre en organisations netværk og ressourcer fra ondsindede angreb. Svaret er autentificering.

som tidligere nævnt er godkendelse proces, hvorved brugere eller andre enheder identificerer sig, så de kan forsøge at få adgang til netværksressourcer. Godkendelse er det første trin i processen med at give brugerne adgang til netværksressourcer. I Active Directory sker brugergodkendelse af den bruger, der leverer brugerkontooplysninger, såsom brugerlogonnavnet, adgangskoden og brugerens sikkerhedsidentifikator (SID).

autentificering i Server 2003-miljøer involverer følgende to processer:

• Interaktiv logon: Interaktiv logon opstår, når en bruger logger på systemet ved hjælp af en adgangskode eller chipkort.

• netværksgodkendelse: netværksgodkendelse opstår, når en bruger har tilladelse til at få adgang til ressourcer, uden at brugeren skal indtaste denne adgangskode eller chipkortets personlige identifikationsnummer (pinkode) igen.

brugeren eller enheden beviser sin identitet ved hjælp af en delt hemmelighed. Den delte hemmelighed kan være en af nedenstående komponenter, og skal være en hemmelighed mellem den bruger, der anmoder om godkendelse, og autentificatoren, for at godkendelse skal lykkes:

• en adgangskode

• en krypteringsnøgle

• en hemmelig PIN

godkendelsesprotokoller bruges til at dele hemmeligheden mellem brugeren og autentificatoren. Autentificatoren tillader derefter enten adgang eller nægter anmoderens adgang. De godkendelsesprotokoller, der kan bruges i Server 2003-miljøer, er angivet nedenfor:

• Kerberos version 5, der bruges til netværksgodkendelse. Kerberos version 5 bruges til den interaktive logon-godkendelsesproces og til netværksgodkendelse i Server 2003.

• Secure Socket Layer / Transport Layer Security (SSL/TLS), der bruges til netværksgodkendelse og er baseret på 509 offentlige nøglecertifikater.

• NT LAN Manager (NTLM), der bruges til netværksgodkendelse, men hovedsageligt til Microsoft NT 4-Kompatibilitet.

• Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2), der bruges til netværksgodkendelse og opkaldsgodkendelse.

• Adgangskodegodkendelsesprotokol (PAP), der bruges til netværksgodkendelse og opkaldsgodkendelse.

• udvidelig godkendelsesprotokol-transportniveau sikkerhed (EAP-TLS), der bruges til godkendelse af trådløs forbindelse.

• udvidelig godkendelsesprotokol (EAP), der bruges til netværksgodkendelse og opkaldsgodkendelse, og inkluderer understøttelse af smartkort (godkendelse med aktiveret udstyr).

godkendelse sker, når krypteringsnøgler gemmes på et smartkort, et PC-kort eller en anden kryptografisk tokenmekanisme, og brugeren skal have smartkortet og PIN-koden eller adgangskoden for at bestå godkendelse og få adgang til systemet. Dette giver et ekstra sikkerhedsniveau, fordi uautoriserede personer, der forsøger at få adgang til systemet, har brug for smartkortet og PIN-koden eller adgangskoden.

smartkortgodkendelse er baseret på brugen af smartkort og understøttes i vinduer 2000 og vinduer Server 2003. Et chipkort er en sikkerhedsenhed eller et token med kreditkortstørrelse, der kan bruges til at give yderligere beskyttelse til applikationer og sikkerhedsprotokoller.

smartkort giver følgende funktioner:

• sikker metode til brugergodkendelse

• interaktivt logon

• Fjernadgangslogoner

• Administrator logon

• sikker kodesignering

• sikker e-mail

i netværksmiljøer bruges de typisk til følgende formål

• logge på en computer

• kryptering af e-mail

• kryptering af diskfiler gennem EFS

som tidligere nævnt, smart card godkendelse giver meget stærk godkendelse, fordi brugeren skal have smartkortet, og brugeren skal kende det personlige identifikationsnummer (PIN). Du kan blokere et smartkort fra systemet, efter at der er foretaget et successivt antal mislykkede logonforsøg. For at aktivere disse funktioner involverer smartkortgodkendelse brugen af en smartkortlæser, der er knyttet til computeren. Det anbefales at bruge Plug and Play (PnP) læsere med vinduer Server 2003. Smartkortet indeholder en mikroprocessor og permanent flashhukommelse, der indeholder brugerens logonoplysninger, privat nøgle, digitale certifikater og andre private oplysninger. Når brugeren indsætter smartkortet i smartkortlæseren, skal brugeren angive PIN-koden for at logge på systemet. Smartkort er designet til at give manipulationsbestandig godkendelse. Forskellen mellem smartkort og private nøgler er, at du kan flytte smartkort fra en computer til computer.

smartkortlæseren er normalt knyttet til computerens serielle port, USB-port eller PCMCIA-port. Da pc ‘er, bærbare computere og PDA’ er har en af disse porte, understøttes smartkortlæsere af alle computere. Smartkort er tilgængelige i en række former. De fleste har dog en lighed med kreditkort. De mere avancerede smartkort bruger magnetik. Hvad dette betyder er, at de ikke behøver at have eksterne kontakter. En almindelig form er donglen, der kan passe ind i en USB-port. Herfra er det tilgængeligt af Cryptographic Service Provider (CSP). Dongle-formularen behøver ikke nogen særlig læser. Formularens undergang er, at den er omtrent fire gange dyrere end de konventionelle smartkortformer. Mens installationen af et chipkort implementering kan være kompleks og dyr, en anden vanskelig proces er at bestemme, hvilken leverandør til at bruge. Driverne til smartkortprodukter fra Gemplus og Schlumberger er faktisk indbygget i operativsystemet.

overvejelser om implementering af smartkort

godkendelse via smartkort understøttes i vinduer 2000 og vinduer Server 2003, men er afhængig af Public Key Infrastructure (PKI). PKI skal eksistere, før du kan implementere smartkortgodkendelse. Det anbefales at bruge en virksomhedscertificeringsmyndighed (CA) til godkendelse baseret på smartkort. Stand-alone CAs og eksterne CA-enheder anbefales ikke til brug med chipkortgodkendelse.

selvom der er en hel del leverandører at vælge imellem for at levere din smart card-teknologi, skal du huske, at Server 2003 ikke understøtter on-Plug and Play smart card-læsere. Det anbefales kun at bruge PC/Smart Card (PC / SC) kompatible smartkort og læsere, selv når en leverandør giver ikke-Plug and Play smart card læsere, der kan fungere med Server 2003. Ud over implementeringen af en PKI har hver computer brug for en smartkortlæser.

da omkostninger altid er en vigtig faktor, kan du overveje nedenstående faktorer som dem, der påvirker omkostningerne ved administration af en chipkortimplementering:

• antallet af brugere, der vil bruge smart card-programmet, samt hvor disse særlige brugere er placeret.

• den måde, hvorpå brugerne vil blive udstedt chipkort. Kravene til verifikation af brugeridentiteter bør også medtages.

• den procedure, der skal anvendes, når brugerne forlægger eller beskadiger de chipkort, der blev udstedt til dem.

når du planlægger en smart card-godkendelsesløsning, skal du definere de godkendelses-og logonmetoder, der skal bruges. Dette vil omfatte:

• identificering af de godkendelsesstrategier, der skal implementeres.

• PKI afhængigheder.

• eventuelle problemer med implementering af smartkort.

forberedelse af PKI til en Chipkortimplementering

som tidligere nævnt er smartkort afhængige af implementeringen af en PKI. Smartkort har brug for Certifikater for at styre, hvilke brugere der har tilladelse til at godkende ved hjælp af smartkort. Certifikater bruges til at verificere identiteten af brugere, applikationer, computere og tjenester; og kan bruges til at sikre e-mail, til godkendelse af Internet-og applikationskode og til at muliggøre brugen af smartkort. En certifikatmyndighed (CA) udsteder certifikater til brugere og andre enheder.

certifikatet vil normalt indeholde følgende oplysninger:

• certifikatets løbenummer

• oplysninger, der identificerer brugeren.

• oplysninger, der identificerer CA, der udstedte certifikatet.

• brugerens offentlige nøgle

• certifikatets gyldighedsperiode

• det fremtrædende navn på den udstedende CA-server

PKI ‘ s evne til at understøtte smartkort er et attraktivt træk ved vinduerne PKI implementering. For at implementere smartkort er et af de første trin at installere certifikattjenester på en server i dit miljø og konfigurere serveren som en virksomhed CA. Efter dette skal du oprette tre certifikatskabeloner for at aktivere brugen af smartkort i din organisation. Certifikatskabeloner kan defineres som et sæt regler og indstillinger, der angiver indholdet og formatet af certifikater, der udstedes, baseret på Tilsigtet brug. Du konfigurerer certifikatskabeloner på CAs ‘ en i din PKI-implementering. Certifikatskabelonen anvendes, når en bruger anmoder om et certifikat fra CA. Server 2003 enterprise CAS bruger certifikatskabeloner, der er gemt i Active Directory, til at oprette certifikater til brugere og computere.

for en chipkortimplementering skal du oprette følgende tre certifikatskabeloner:

• Enrollment Agent Certificate: denne certifikatskabelon gør det muligt for en Server 2003-computer at fungere som en tilmeldingsstation. Tilmeldingsstationen opretter og udsteder certifikater til smartkortbrugere.

• Chipkortlogoncertifikatet: denne certifikatskabelon giver brugerne mulighed for at godkende ved hjælp af smartkort.

• Smart Card Bruger Certifikater: Denne certifikatskabelon giver brugerne mulighed for at sikre e-mail efter godkendelse.

implementering af smartkort

de typiske trin til implementering af en smartkortløsning i en organisation er angivet nedenfor. De faktiske trin bestemmes af den måde, hvorpå smartkort bruges i PKI:

• Konfigurer en tilmeldingsstation

• Definer de nødvendige certifikatskabeloner til CA og Active Directory.

• Definer tilmeldingsagenter, der udsteder smartkort

• Forbered smartkortene

• udsted certifikatertil smartkortet til brugere

• Konfigurer fjernadgangsservere til at acceptere smartkortgodkendelse

• Tilmeld serverne til computercertifikater

da de certifikatskabeloner, der bruges af smartkort, ikke er installeret på en enterprise CA som standard, skal du bruge Certificeringsmyndighedskonsollen til at konfigurere disse certifikatskabeloner. Ud over dette skal du tildele brugerne de korrekte tilladelser til certifikatskabelonerne. Hvis du vil ændre tilladelser til en certifikatskabelon, skal du være medlem af gruppen domæneadministratorer i forest root-domænet eller medlem af gruppen Virksomhedsadministratorer.

Sådan indstilles tilladelser på certifikatskabeloner

1. Klik på Start, Kør, og indtast certtmpl.msc i dialogboksen Kør. Klik på OK.

2. Find og højreklik på det certifikat, hvis tilladelser du vil ændre, og klik derefter på Egenskaber i genvejsmenuen.

3. Klik på fanen Sikkerhed.

4. Tildel brugere og grupper, der har brug for at anmode om certifikater, der er baseret på den bestemte certifikatskabelon, læse-og Tilmeldingstilladelserne.

5. Klik på OK.

den certifikatserver, der er inkluderet i Server 2003, indeholder en chipkorttilmeldingsstation, som kan bruges til at distribuere certifikater til brugerne. Du kan bruge tilmeldingsstationen til chipkort til at anmode om et chipkortcertifikat på brugerens vegne. Dette giver dig igen mulighed for at forudinstallere det på brugerens smartkort. Før brugere kan anmode om certifikater, skal du forberede tilmeldingsstationen for at oprette certifikaterne. Det første trin i forberedelsen af CA til at udstede chipkortcertifikater er at oprette Tilmeldingsagentcertifikatet.

Sådan oprettes Tilmeldingsagentcertifikatet

1. Klik på Start, Administrative værktøjer, og klik derefter på certificeringsmyndighed.

2. i konsoltræet skal du udvide certifikatmyndighed, <servernavn > og Certifikatskabeloner.

3. Klik på ny, og klik derefter på certifikat, der skal udstedes, i menuen Handling.

4. Vælg skabelon til Tilmeldingsagent. Klik på OK.

5. klik på ny i menuen Handling, og klik derefter på certifikat, der skal udstedes i menuen Handling

   • hvis du vil oprette certifikater til brugergodkendelse, skal du vælge skabelonen Smart Card logon certificate. Klik på OK.

   • hvis du vil oprette certifikater til brugergodkendelse og til kryptering af brugerens oplysninger, skal du vælge skabelonen Chipkortbrugercertifikat. Klik på OK.

6. certifikatskabelonerne skal nu vises i konsolvinduet

7. Luk Certificeringsmyndighedens konsol.

Sådan oprettes et smart card certifikat tilmelding station

1. Log på maskinen

2. Klik på Start, Kør, og angiv mmc i dialogboksen Kør. Klik på OK

3. Klik på Tilføj/fjern Snap-in i menuen Filer, og klik derefter på Tilføj.

4. Dobbeltklik på snap-in ‘ en certifikater. Klik på OK.

5. Klik På Luk.

6. Udvid certifikater, Nuværende bruger og derefter Personlige i snap-in ‘ en certifikater.

7. Vælg alle opgaver, og Anmod derefter om nyt certifikat i menuen Handling.

8. når guiden certifikatanmodning starter, skal du klikke på Næste.

9. når siden Certifikattyper åbnes, skal du klikke på Tilmeldingsagent og derefter klikke på Næste.

10. på siden Certifikatvenligt navn og beskrivelse skal du angive en beskrivelse af certifikatet. Klik På Næste.

11. når oversigtssiden åbnes, skal du klikke på Udfør.

opsætning af brugere til at bruge smartkort inkluderer køb og installation af smartkortlæsere til alle brugerarbejdsstationer. Installation af smartkortlæsere, der er Plug and Play-kompatible, er normalt en ukompliceret installation af udstyr.

de smartkortlæsere, der understøttes af og Server 2003, er angivet nedenfor.

• American Express, GCR435 – USB port

• Bull, SmarTLP3 – serial port

• Compaq, Serial reader – serial port

• Gemplus, GCR410P – serial port

• Gemplus, GPR400 – PCMCIA port

• Gemplus, GemPC430 – USB port

• Hewlett-Packard, ProtectTools, – serial port

• Litronic, 220P, – serial port

• Schlumberger, Reflex 20 – PCMCIA port

• Schlumberger, Reflex 72 – serial port

• Schlumberger, Reflex Lite – serial port

• SCM Microsystems, SCR111 – serial port

• SCM Microsystems, SCR120 – PCMCIA port

• SCM Microsystems, SCR200 – serial port

• SCM Microsystems, SCR300 – USB port

• Systemneeds, External – serial port

• Omnikey AG, 2010 – serial port

• Omnikey AG, 2020 – USB port

• Omnikey AG, 4000 – PCMCIA port

Some smart card læserens drivere er forudinstalleret i vinduer Server 2003, mens andre ikke er. Du kan installere en smartkortlæser på computeren ved at vedhæfte smartkortlæseren til en seriel port eller USB-port. For bærbare computere skal du indsætte smartkortlæseren i en PCMCIA-slot.

når smartkortlæseren er installeret, skal Tilmeldingsstationen bruges til følgende opgaver:

• installer smart card logon eller bruger certifikater for dine brugeres smart cards.

• Indstil den oprindelige PIN-kode for brugeren.

når smartkortlæserne er installeret, er det næste trin at udstede smartkortcertifikater til brugerne. Denne proces er kendt som tilmelding. Før du tilmelder dig en bruger og udsteder brugeren med smart card, skal du uddanne brugerne om disse punkter:

• brugere bør afstå fra at bøje smartkortet, fordi de kan beskadige chipkortets interne mekanismer.

• brugere skal beskytte den eksterne chipkortchip mod at blive ridset eller bulet. Smartkortlæseren kan muligvis ikke læse de oplysninger, der er gemt på kortet, hvis det er beskadiget på denne måde.

• brugere skal gemme deres smartkort på et køligt tørt sted og sikkert fra andre magnetiske kilder, såsom kreditkort. For høje varme temperaturer kan resultere i, at smartkortet bliver sprødt og brudbart.

Sådan tilmelder du dig en smartkortbruger,

1. få adgang til arbejdsstationen ved hjælp af en brugerkonto, der har de nødvendige rettigheder i skabelonen Tilmeldingsagentcertifikat for det domæne, der indeholder brugerkontoen.

2. Åbn Internetudforsker, og få adgang til CA ved at indtaste http://CA servernavn/certsrv.

3. klik på Anmod om et certifikat på velkomstsiden

4. klik på Avanceret certifikatanmodning på siden Anmod om et certifikat.

5. på siden Avanceret certifikatanmodning skal du vælge indstillingen Anmod om et certifikat for et chipkort på vegne af en anden bruger.

6. Vælg at oprette et af følgende på siden Station for tilmelding til Chipkortcertifikat:

   • Smart card logon certifikat

   • Smart card bruger certifikat

7. i feltet certifikatmyndighed skal du vælge navnet på CA for det domæne, der skal udstede chipkortcertifikater.

8. indtast navnet på den leverandør, du bruger til smartkort, i listen over kryptografiske tjenesteudbydere.

9. i feltet Administrator signeringscertifikat skal du indtaste navnet på det tilmeldingsagentcertifikat, der underskriver anmodningen om tilmelding til certifikat. Klik På Næste.

10. på siden bruger, der skal tilmeldes, skal du klikke på Vælg bruger for at finde den brugerkonto, du vil oprette et chipkortcertifikat til, og klik på Tilmeld.

11. Placer brugerens chipkort i chipkortlæseren, og klik på OK.

12. fortsæt med at indtaste den oprindelige PIN-kode til smartkortet.

13. Klik på Vis certifikat for at kontrollere, at certifikatet er udstedt til den bruger, du har angivet.

en vinduer 2000 eller vinduer Server 2003 fjernadgang server understøtter smart card logon. For at aktivere smartkortlogon for disse servere skal du konfigurere RRAS-tjenesten til at bruge udvidelig godkendelsesprotokol (EAP). Derefter skal du angive smartkortlogon som EAP-metoden.

Sådan konfigureres en vinduer 2000 eller vinduer Server 2003 fjernadgangsserver til smartkortlogon,

1. Åbn RRAS-konsollen fra Administrative Toos.

2. fortsæt med at åbne dialogboksen Egenskaber for den fjernadgangsserver, der skal acceptere smartkortlogon.

3. Klik på fanen Sikkerhed.

4. Klik på autentificeringsmetoder, og klik på autentificeringsmetoder.

5. Vælg indstillingen udvidelig godkendelsesprotokol (EAP).

6. Klik på EAP-metoder.

7. brug den tilgængelige liste til at finde og dobbeltklikke på smartkort eller andet certifikat. Klik på OK.

8. fortsæt med at fravælge de andre godkendelsesindstillinger. Klik på OK.

9. klik på OK i dialogboksen Egenskaber på serveren.

10. find politikker for fjernadgang i konsoltræet i RRAS-konsollen.

11. Dobbeltklik på Tillad adgang, hvis Opkaldstilladelse er aktiveret.

12. når dialogboksen Egenskaber åbnes, skal du klikke på Rediger Profil.

13. Klik på fanen godkendelse.

14. Klik på EAP-metoder.

15. når dialogboksen Vælg EAP-udbydere åbnes, skal du klikke på Tilføj.

16. Vælg smartkort eller andet certifikat i dialogboksen Tilføj EAP.

17. Klik på OK.

18. Klik på Rediger i dialogboksen Vælg EAP-udbydere.

19. når dialogboksen Egenskaber for chipkort eller andre certifikater åbnes, skal du i feltet certifikat udstedt til vælge det computercertifikat, der er udstedt til den bestemte server.

20. Klik på OK, og luk alle åbne dialogbokse.

du kan aktivere visse politikindstillinger i Gruppepolitik, der kan hjælpe med at forenkle administration af smartkort i dit miljø:

• konto lockout tærskel: du kan bruge indstillingerne i denne politik til at beskytte din smart card-godkendelsesproces mod adgangskodeangreb.

• Tillad ikke omdirigering af smartkortenheder: når det er aktiveret, kan brugerne ikke bruge smartkort til at logge på en Terminal Services-server.

• ved fjernelse af smartkort: du kan bruge denne indstilling til at forhindre brugere, der kører uovervåget aktive sessioner. Brug disse indstillinger til at angive, at brugernes sessioner er låst eller logget af, når de fjerner deres chipkort fra chipkortlæseren.

• smartkort kræves til Interaktiv logon: når det er aktiveret, kan en bruger kun logge på den lokale computer ved hjælp af smartkortgodkendelse. Brugeren kan ikke bruge en brugerkonto og angive brugernavnet og adgangskodeoplysningerne for at logge på.