Smartcard-Authentifizierung verstehen und implementieren

Ein Überblick über Authentifizierung und Smartcards

Administratoren müssen das Netzwerk vor Angriffen von Hackern, Spionen, Terroristen, Dieben und Kriminellen schützen. Sicherheit umfasst zahlreiche Technologien, Protokolle, Standards, Richtlinien, Passwörter und geheime Schlüssel. Alle diese Mechanismen konzentrieren sich typischerweise auf Folgendes:

• Authentifizierung

• Zugangskontrolle

• Datenschutz

• Prüfung/Rechenschaftspflicht

Authentifizierung ist der Prozess, mit dem sich eine Entität identifiziert, bevor die Netzwerkanmeldung zulässig ist. Nach der Authentifizierung eines Benutzers definiert die Zugriffssteuerung, auf welche Ressourcen zugegriffen werden kann, welche Aktionen für die Ressource ausgeführt werden können und ob diese Aktionen geprüft werden oder nicht. Die Zugriffssteuerung wird implementiert, indem Berechtigungen für Ressourcen und Objekte festgelegt und Benutzern Rechte zugewiesen werden. Der Datenschutz umfasst zwei Sicherheitskonzepte, nämlich die Vertraulichkeit der Daten und die Datenintegrität. Die Vertraulichkeit von Daten befasst sich mit der Sicherung von Daten, die über das Netzwerk durch die Anwendung kryptografischer Operationen übertragen werden. Verschlüsselungsalgorithmen und die Verwendung von privaten und öffentlichen Schlüsseln gewährleisten die Vertraulichkeit der Daten. Unbefugte, die die Nachricht abfangen, können den Inhalt der Nachricht nicht interpretieren. Die Datenintegrität wird durch die digitale Signatur von Nachrichten und Dateien implementiert. Mithilfe digitaler Signaturen können Sie feststellen, ob die Nachricht manipuliert wurde oder nicht. Aus dieser kurzen Diskussion können Sie sehen, dass viele Konzepte und Prinzipien bei der Erörterung der Sicherheit enthalten sind. Wo also passen Smartcards in den Prozess der Sicherung des Netzwerks und der Ressourcen eines Unternehmens vor böswilligen Angriffen. Die Antwort lautet Authentifizierung.

Wie bereits erwähnt, ist Authentifizierung ein Prozess, bei dem sich Benutzer oder andere Entitäten identifizieren, damit sie versuchen können, auf Netzwerkressourcen zuzugreifen. Die Authentifizierung ist der erste Schritt, um Benutzern den Zugriff auf Netzwerkressourcen zu ermöglichen. In Active Directory erfolgt die Benutzerauthentifizierung, indem der Benutzer Anmeldeinformationen für das Benutzerkonto bereitstellt, z. B. den Anmeldenamen, das Kennwort und die Sicherheits-ID (SID) des Benutzers.

Die Authentifizierung in Windows Server 2003-Umgebungen umfasst die folgenden zwei Prozesse:

• Interaktive Anmeldung: Die interaktive Anmeldung erfolgt, wenn sich ein Benutzer mit einem Kennwort oder einer Smartcard am System anmeldet.

• Netzwerkauthentifizierung: Die Netzwerkauthentifizierung erfolgt, wenn ein Benutzer auf Ressourcen zugreifen darf, ohne dass der Benutzer dieses Kennwort oder die persönliche Identifikationsnummer (PIN) der Smartcard erneut eingeben muss.

Der Benutzer oder die Entität beweist seine Identität mithilfe eines gemeinsamen Geheimnisses. Das gemeinsame Geheimnis kann eine der unten aufgeführten Komponenten sein und muss ein Geheimnis zwischen dem Benutzer, der die Authentifizierung anfordert, und dem Authentifizierer sein, damit die Authentifizierung erfolgreich ist:

• Ein Passwort

• Ein Verschlüsselungsschlüssel

• Ein geheimer PIN

Authentifizierungsprotokolle werden verwendet, um das Geheimnis zwischen dem Benutzer und dem Authentifizierer zu teilen. Der Authentifikator erlaubt dann entweder den Zugriff oder verweigert dem Anforderer den Zugriff. Die Authentifizierungsprotokolle, die in Windows Server 2003-Umgebungen verwendet werden können, sind unten aufgeführt:

• Kerberos Version 5, wird für die Netzwerkauthentifizierung verwendet. Kerberos Version 5 wird für den interaktiven Anmeldeauthentifizierungsprozess und für die Netzwerkauthentifizierung in Windows Server 2003 verwendet.

• Secure Socket Layer / Transport Layer Security (SSL / TLS) wird für die Netzwerkauthentifizierung verwendet und basiert auf öffentlichen X.509-Schlüsselzertifikaten.

• Microsoft Windows NT LAN Manager (NTLM), wird für die Netzwerkauthentifizierung, aber hauptsächlich für die Kompatibilität mit Microsoft Windows NT 4 verwendet.

• Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP v2), das für die Netzwerkauthentifizierung und DFÜ-Authentifizierung verwendet wird.

• Password Authentication Protocol (PAP), das für die Netzwerkauthentifizierung und DFÜ-Authentifizierung verwendet wird.

• Extensible Authentication Protocol – Transport Level Security (EAP-TLS), das für die Authentifizierung drahtloser Verbindungen verwendet wird.

• Extensible Authentication Protocol (EAP), das für die Netzwerkauthentifizierung und DFÜ-Authentifizierung verwendet wird und Unterstützung für Smartcards (hardwareaktivierte Authentifizierung) bietet.

Hardwareaktivierte Authentifizierung tritt auf, wenn Verschlüsselungsschlüssel auf einer Smartcard, einer PC-Karte oder einem anderen kryptografischen Token-Mechanismus gespeichert sind und der Benutzer über die Smartcard und die PIN oder das Kennwort verfügen muss, um die Authentifizierung zu bestehen und auf das System zuzugreifen. Dies bietet eine zusätzliche Sicherheitsstufe, da nicht autorisierte Personen, die versuchen, auf das System zuzugreifen, die Smartcard und die PIN oder das Kennwort benötigen.

Die Smartcard-Authentifizierung basiert auf der Verwendung von Smartcards und wird in Windows 2000 und Windows Server 2003 unterstützt. Eine Smartcard ist ein Sicherheitsgerät oder ein Hardware-Token in Kreditkartengröße, mit dem Anwendungen und Sicherheitsprotokolle zusätzlich geschützt werden können.

Smartcards bieten die folgenden Funktionen:

• Sichere Methode der Benutzerauthentifizierung

• Interaktive Anmeldung

• Fernzugriffsanmeldungen

• Administratoranmeldungen

• Sichere Codesignierung

• Sichere E-Mail

In Netzwerkumgebungen werden sie typischerweise für folgende Zwecke verwendet

• Anmelden an einem Computer

• Verschlüsselung von E-Mails

• Verschlüsselung von Festplattendateien über EFS

Wie bereits erwähnt, Smartcard die Authentifizierung bietet eine sehr starke Authentifizierung, da der Benutzer die Smartcard besitzen und die persönliche Identifikationsnummer (PIN) kennen muss. Sie können eine Smartcard nach mehreren erfolglosen Anmeldeversuchen aus dem System sperren. Um diese Funktionen zu aktivieren, umfasst die Smartcard-Authentifizierung die Verwendung eines Smartcard-Lesegeräts, das an den Computer angeschlossen ist. Es wird empfohlen, Plug-and-Play-Leser (PnP) mit Windows Server 2003 zu verwenden. Die Smartcard enthält einen Mikroprozessor und einen permanenten Flash-Speicher, der die Anmeldeinformationen des Benutzers, den privaten Schlüssel, digitale Zertifikate und andere private Informationen enthält. Wenn der Benutzer die Smartcard in den Smartcard-Leser einführt, muss der Benutzer die PIN angeben, um sich am System anzumelden. Smartcards bieten eine manipulationssichere Authentifizierung. Der Unterschied zwischen Smartcards und privaten Softwareschlüsseln besteht darin, dass Sie Smartcards von einem Computer auf einen anderen verschieben können.

Der Chipkartenleser wird normalerweise an den seriellen Anschluss, USB-Anschluss oder PCMCIA-Anschluss des Computers angeschlossen. Da PCs, Laptops und PDAs über einen dieser Anschlüsse verfügen, werden Smartcard-Leser von allen Computern unterstützt. Smartcards sind in verschiedenen Formen erhältlich. Die meisten haben jedoch eine Ähnlichkeit mit Kreditkarten. Die fortgeschritteneren Smartcards verwenden Magnetik. Dies bedeutet, dass sie keine externen Kontakte haben müssen. Eine gängige Form ist der Dongle, der in einen USB-Anschluss passen kann. Von hier aus wird vom Cryptographic Service Provider (CSP) darauf zugegriffen. Das Dongle-Formular benötigt keinen speziellen Leser. Der Nachteil des Formulars ist, dass es ungefähr viermal teurer ist als die herkömmlichen Smartcard-Formulare. Während die Installation einer Smartcard-Implementierung komplex und teuer sein kann, besteht ein weiterer schwieriger Prozess darin, den zu verwendenden Anbieter zu bestimmen. Die Treiber der Smartcard-Produkte von Gemplus und Schlumberger sind tatsächlich im Betriebssystem integriert.

Überlegungen zur Smartcard-Bereitstellung

Die Authentifizierung über Smartcards wird in Windows 2000 und Windows Server 2003 unterstützt, ist jedoch von der Public Key Infrastructure (PKI) abhängig. Die PKI muss vorhanden sein, bevor Sie die Smartcard-Authentifizierung implementieren können. Es wird empfohlen, eine Unternehmenszertifizierungsstelle (CA) für die Authentifizierung basierend auf Smartcards zu verwenden. Eigenständige CAs und externe CA-Entitäten werden für die Verwendung mit der Smartcard-Authentifizierung nicht empfohlen.

Es gibt zwar eine ganze Reihe von Anbietern, aus denen Sie Ihre Smartcard-Technologie auswählen können, aber denken Sie daran, dass Windows Server 2003 keine Plug-and-Play-Smartcard-Leser unterstützt. Es wird empfohlen, nur PC/SC-kompatible Smartcards und -lesegeräte zu verwenden, selbst wenn ein Anbieter Smartcard-Lesegeräte ohne Plug-and-Play bereitstellt, die mit Windows Server 2003 betrieben werden können. Neben der Implementierung einer PKI benötigt jeder Rechner einen Smartcard-Reader.

Da die Kosten immer ein wichtiger Faktor sind, können Sie die unten aufgeführten Faktoren als Faktoren betrachten, die die Kosten für die Verwaltung einer Smartcard-Implementierung beeinflussen:

• Die Anzahl der Benutzer, die das Smartcard-Programm verwenden, sowie den Standort dieser bestimmten Benutzer.

• Die Art und Weise, in der den Benutzern Smartcards ausgestellt werden. Die Anforderungen zur Überprüfung der Benutzeridentitäten sollten ebenfalls enthalten sein.

• Das Verfahren, das angewendet wird, wenn Benutzer die Smartcards, die ihnen ausgestellt wurden, verlegen oder beschädigen.

Bei der Planung einer Smartcard-Authentifizierungslösung müssen Sie die Authentifizierungs- und Anmeldemethoden definieren, die verwendet werden sollen. Dies würde beinhalten:

• Identifizieren der Authentifizierungsstrategien, die implementiert werden sollen.

• PKI-Abhängigkeiten.

• Probleme bei der Smartcard-Bereitstellung.

Vorbereiten der PKI für eine Smartcard-Implementierung

Wie bereits erwähnt, sind Smartcards von der Implementierung einer PKI abhängig. Smartcards benötigen Zertifikate, um zu verwalten, welche Benutzer sich mit Smartcards authentifizieren dürfen. Zertifikate werden verwendet, um die Identität von Benutzern, Anwendungen, Computern und Diensten zu überprüfen. und kann verwendet werden, um E-Mail zu sichern, für Web- und Anwendungscode-Authentifizierung, und die Verwendung von Smartcards zu ermöglichen. Eine Zertifizierungsstelle stellt Zertifikate für Benutzer und andere Entitäten aus.

Das Zertifikat enthält normalerweise die folgenden Informationen:

• Die Seriennummer des Zertifikats

• Informationen, die den Benutzer identifizieren.

• Informationen, die die Zertifizierungsstelle identifizieren, die das Zertifikat ausgestellt hat.

• Der öffentliche Schlüssel des Benutzers

• Die Gültigkeitsdauer des Zertifikats

• Der Distinguished Name des ausstellenden CA-Servers

Die Fähigkeit der PKI, Smartcards zu unterstützen, ist ein attraktives Merkmal der Windows PKI-Implementierung. Um Smartcards zu implementieren, müssen Sie zunächst Zertifikatdienste auf einem Server in Ihrer Umgebung installieren und den Server als Unternehmenszertifizierungsstelle konfigurieren. Danach müssten Sie drei Zertifikatvorlagen erstellen, um die Verwendung von Smartcards in Ihrer Organisation zu ermöglichen. Zertifikatvorlagen können als eine Reihe von Regeln und Einstellungen definiert werden, die den Inhalt und das Format der ausgestellten Zertifikate basierend auf der beabsichtigten Verwendung festlegen. Sie konfigurieren Zertifikatvorlagen auf den Zertifizierungsstellen innerhalb Ihrer PKI-Implementierung. Die Zertifikatvorlage wird angewendet, wenn ein Benutzer ein Zertifikat von der Zertifizierungsstelle anfordert. Nur Windows Server 2003 Enterprise CAs verwendet Zertifikatvorlagen, die in Active Directory gespeichert sind, um Zertifikate für Benutzer und Computer zu erstellen.

Für eine Smartcard-Implementierung müssen Sie die folgenden drei Zertifikatvorlagen erstellen:

• Registrierungs-Agent-Zertifikat: Mit dieser Zertifikatvorlage kann ein Windows Server 2003-Computer als Registrierungsstation dienen. Die Registrierungsstation erstellt und stellt Zertifikate für Smartcard-Benutzer aus.

• Das Smartcard-Anmeldezertifikat: Mit dieser Zertifikatvorlage können sich Benutzer mithilfe von Smartcards authentifizieren.

• Smartcard-Benutzerzertifikate: Mit dieser Zertifikatvorlage können Benutzer E-Mails nach der Authentifizierung sichern.

Implementieren von Smartcards

Die typischen Schritte zur Implementierung einer Smartcard-Lösung in einer Organisation sind unten aufgeführt. Die tatsächlichen Schritte werden durch die Art und Weise bestimmt, in der Smartcards in der PKI verwendet werden:

• Konfigurieren einer Registrierungsstation

• Definieren Sie die erforderlichen Zertifikatvorlagen für die Zertifizierungsstelle und Active Directory.

• Definieren Sie Registrierungsagenten, die Smartcards ausstellen

• Vorbereiten der Smartcards

• Ausstellung von Zertifikaten an die Smartcard für Benutzer

• Konfigurieren von Remotezugriffsservern für die Smartcard-Authentifizierung

• Registrieren der Server für Computerzertifikate

Da die von Smartcards verwendeten Zertifikatvorlagen nicht standardmäßig auf einer Unternehmenszertifizierungsstelle installiert sind, müssen Sie die Zertifizierungsstellenkonsole verwenden, um diese Zertifikatvorlagen zu konfigurieren. Darüber hinaus müssen Sie den Benutzern die richtigen Berechtigungen für die Zertifikatvorlagen zuweisen. Um Berechtigungen für eine Zertifikatvorlage zu ändern, müssen Sie Mitglied der Gruppe Domänenadministratoren in der Stammdomäne der Gesamtstruktur oder Mitglied der Gruppe Unternehmensadministratoren sein.

Festlegen von Berechtigungen für Zertifikatsvorlagen

1. Klicken Sie auf Start, Ausführen und geben Sie certtmpl ein.msc im Dialogfeld Ausführen. OK.

2. Suchen Sie das Zertifikat, dessen Berechtigungen Sie ändern möchten, und klicken Sie mit der rechten Maustaste darauf, und klicken Sie dann im Kontextmenü auf Eigenschaften.

3. Klicken Sie auf die Registerkarte Sicherheit.

4. Weisen Sie Benutzern und Gruppen, die Zertifikate anfordern müssen, die auf der jeweiligen Zertifikatvorlage basieren, die Lese- und Registrierungsberechtigungen zu.

5. Klicken Sie auf OK.

Der in Windows Server 2003 enthaltene Zertifikatsserver enthält eine Smartcard-Registrierungsstation, mit der Zertifikate an Benutzer verteilt werden können. Sie können die Smartcard-Registrierungsstation verwenden, um ein Smartcard-Zertifikat im Namen des Benutzers anzufordern. Dies wiederum ermöglicht es Ihnen, es auf der Smartcard des Benutzers vorinstallieren. Bevor Benutzer Zertifikate anfordern können, müssen Sie die Registrierungsstation vorbereiten, um die Zertifikate zu erstellen. Der erste Schritt zur Vorbereitung der Zertifizierungsstelle auf die Ausstellung von Smartcard-Zertifikaten besteht darin, das Zertifikat des Registrierungsagenten zu erstellen.

So erstellen Sie das Enrollment Agent-Zertifikat

1. Klicken Sie auf Start, Verwaltung und dann auf Zertifizierungsstelle.

2. Erweitern Sie in der Konsolenstruktur Certificate Authority, <Server name> und Certificate Templates.

3. Klicken Sie im Aktionsmenü auf Neu und dann auf Auszustellendes Zertifikat.

4. Wählen Sie Vorlage für Registrierungs-Agent. OK.

5. Klicken Sie im Menü Aktion auf Neu, und klicken Sie dann im Menü Aktion auf Auszustellendes Zertifikat

   • Wenn Sie Zertifikate für die Benutzerauthentifizierung erstellen möchten, wählen Sie die Smartcard-Anmeldezertifikatvorlage aus. OK.

   • Wenn Sie Zertifikate für die Benutzerauthentifizierung und für die Verschlüsselung der Benutzerinformationen erstellen möchten, wählen Sie die Smartcard-Benutzerzertifikatvorlage aus. OK.

6. Die Zertifikatvorlagen sollten nun im Konsolenfenster angezeigt werden

7. Schließen Sie die Konsole der Zertifizierungsstelle.

So erstellen Sie eine Smart Card Certificate Enrollment Station

1. Melden Sie sich an der Maschine an

2. Klicken Sie im Dialogfeld Ausführen auf Start, Ausführen und geben Sie mmc ein. Klicken Sie auf OK

3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie dann auf Hinzufügen.

4. Doppelklicken Sie auf das Snap-in Zertifikate. OK.

5. Klicken Sie auf Schließen.

6. Erweitern Sie im Snap-in Zertifikate Zertifikate, Aktueller Benutzer und dann Persönlich.

7. Wählen Sie Alle Aufgaben aus, und fordern Sie dann im Menü Aktion ein neues Zertifikat an.

8. Wenn der Zertifikatsanforderungsassistent gestartet wird, klicken Sie auf Weiter.

9. Wenn die Seite Zertifikatstypen geöffnet wird, klicken Sie auf Registrierungs-Agent, und klicken Sie dann auf Weiter.

10. Geben Sie auf der Seite Anzeigename und Beschreibung des Zertifikats eine Beschreibung für das Zertifikat ein. aufWeiter.

11. Wenn die Übersichtsseite geöffnet wird, klicken Sie auf Fertig stellen.

Das Einrichten von Benutzern zur Verwendung von Smartcards umfasst den Kauf und die Installation von Smartcard-Lesegeräten für alle Benutzerarbeitsplätze. Die Installation von Smartcard-Lesegeräten, die Plug-and-Play-kompatibel sind, ist in der Regel eine unkomplizierte Hardwareinstallation.

Die von Windows XP und Windows Server 2003 unterstützten Smartcard-Lesegeräte sind unten aufgeführt.

• American Express, GCR435 – USB port

• Bull, SmarTLP3 – serial port

• Compaq, Serial reader – serial port

• Gemplus, GCR410P – serial port

• Gemplus, GPR400 – PCMCIA port

• Gemplus, GemPC430 – USB port

• Hewlett-Packard, ProtectTools, – serial port

• Litronic, 220P, – serial port

• Schlumberger, Reflex 20 – PCMCIA port

• Schlumberger, Reflex 72 – serial port

• Schlumberger, Reflex Lite – serial port

• SCM Microsystems, SCR111 – serial port

• SCM Microsystems, SCR120 – PCMCIA port

• SCM Microsystems, SCR200 – serial port

• SCM Microsystems, SCR300 – USB port

• Systemneeds, External – serial port

• Omnikey AG, 2010 – serial port

• Omnikey AG, 2020 – USB port

• Omnikey AG, 4000 – PCMCIA port

Some smart card reader-Treiber sind in Windows Server 2003 vorinstalliert, während andere nicht. Sie können einen Smartcard-Leser auf dem Computer installieren, indem Sie den Smartcard-Leser an einen seriellen Anschluss oder USB-Anschluss anschließen. Setzen Sie bei Laptops den Smartcard-Leser in einen PCMCIA-Steckplatz ein.

Nach der Installation des Smartcard-Lesegeräts muss die Registrierungsstation für die folgenden Aufgaben verwendet werden:

• Installieren Sie Smartcard-Anmelde- oder Benutzerzertifikate für die Smartcards Ihrer Benutzer.

• Legen Sie die anfängliche PIN für den Benutzer fest.

Wenn die Smartcard-Leser installiert sind, besteht der nächste Schritt darin, Smartcard-Zertifikate an Benutzer auszustellen. Dieser Vorgang wird als Registrierung bezeichnet. Bevor Sie einen Benutzer registrieren und ihm eine Smartcard ausstellen, sollten Sie die Benutzer über diese Punkte informieren:

• Benutzer sollten davon absehen, die Smartcard zu biegen, da sie die internen Mechanismen der Smartcard beschädigen können.

• Benutzer sollten den externen Chipkartenchip vor Kratzern oder Beulen schützen. Der Smartcard-Leser kann die auf der Karte gespeicherten Informationen möglicherweise nicht lesen, wenn er auf diese Weise beschädigt wird.

• Benutzer sollten ihre Smartcards an einem kühlen, trockenen Ort aufbewahren und vor anderen magnetischen Quellen wie Kreditkarten schützen. Zu hohe Temperaturen können dazu führen, dass die Chipkarte spröde und zerbrechlich wird.

So registrieren Sie einen Smartcard-Benutzer,

1. Greifen Sie mit einem Benutzerkonto auf die Workstation zu, das über die erforderlichen Rechte in der Zertifikatvorlage des Registrierungsagenten für die Domäne verfügt, die das Benutzerkonto enthält.

2. Öffnen Sie Internet Explorer und greifen Sie auf die Zertifizierungsstelle zu, indem Sie http://CA servername/certsrv eingeben.

3. Klicken Sie auf der Startseite auf Zertifikat anfordern

4. Klicken Sie auf der Seite Zertifikat anfordern auf Erweiterte Zertifikatsanforderung.

5. Wählen Sie auf der Seite Erweiterte Zertifikatsanforderung die Option Zertifikat für eine Smartcard im Namen eines anderen Benutzers anfordern aus.

6. Wählen Sie auf der Seite Smartcard-Zertifikatregistrierungsstation eine der folgenden Optionen aus:

   • Smartcard-Anmeldezertifikat

   • Smartcard-Benutzerzertifikat

7. Wählen Sie im Listenfeld Zertifizierungsstelle den Namen der Zertifizierungsstelle für die Domäne aus, die Smartcard-Zertifikate ausstellen soll.

8. Geben Sie im Listenfeld Kryptografiedienstanbieter den Namen des Anbieters ein, den Sie für Smartcards verwenden.

9. Geben Sie im Feld Administratorsignaturzertifikat den Namen des Zertifikats des Registrierungs-Agenten ein, mit dem die Zertifikatregistrierungsanforderung signiert wird. aufWeiter.

10. Klicken Sie auf der Seite Zu registrierender Benutzer auf Benutzer auswählen, um das Benutzerkonto zu finden, für das Sie ein Smartcard-Zertifikat erstellen möchten, und klicken Sie auf Registrieren.

11. Legen Sie die Smartcard des Benutzers in den Smartcard-Leser und klicken Sie auf OK.

12. Geben Sie die anfängliche PIN für die Smartcard ein.

13. Klicken Sie auf Zertifikat anzeigen, um zu überprüfen, ob das Zertifikat für den angegebenen Benutzer ausgestellt wurde.

Ein Windows 2000- oder Windows Server 2003-Remotezugriffsserver unterstützt die Smartcard-Anmeldung. Um die Smartcard-Anmeldung für diese Server zu aktivieren, müssen Sie den RRAS-Dienst für die Verwendung des Extensible Authentication Protocol (EAP) konfigurieren. Anschließend müssen Sie die Smartcard-Anmeldung als EAP-Methode angeben.

So konfigurieren Sie einen Windows 2000- oder Windows Server 2003-Remotezugriffsserver für die Smartcard-Anmeldung,

1. Öffnen Sie die RRAS-Konsole über Administrative Toos.

2. Fahren Sie fort, um das Dialogfeld Eigenschaften des RAS-Servers zu öffnen, der die Smartcard-Anmeldung akzeptieren soll.

3. Klicken Sie auf die Registerkarte Sicherheit.

4. Klicken Sie auf Windows-Authentifizierung und dann auf Authentifizierungsmethoden.

5. Wählen Sie die Option Extensible Authentication Protocol (EAP).

6. Klicken Sie auf EAP-Methoden.

7. Verwenden Sie die Liste Verfügbar, um Smartcard oder ein anderes Zertifikat zu suchen, und doppelklicken Sie darauf. OK.

8. Deaktivieren Sie die anderen Authentifizierungsoptionen. OK.

9. Klicken Sie im Dialogfeld Eigenschaften des Servers auf OK.

10. Suchen Sie in der RRAS-Konsole in der Konsolenstruktur nach Remotezugriffsrichtlinien.

11. Doppelklicken Sie auf Zugriff zulassen, wenn die Einwahlberechtigung aktiviert ist.

12. Wenn das Dialogfeld Eigenschaften geöffnet wird, klicken Sie auf Profil bearbeiten.

13. Klicken Sie auf die Registerkarte Authentifizierung.

14. Klicken Sie auf EAP-Methoden.

15. Wenn das Dialogfeld EAP-Anbieter auswählen geöffnet wird, klicken Sie auf Hinzufügen.

16. Wählen Sie im Dialogfeld EAP hinzufügen die Option Smartcard oder anderes Zertifikat aus.

17. Klicken Sie auf OK.

18. Klicken Sie im Dialogfeld EAP-Anbieter auswählen auf Bearbeiten.

19. Wenn das Dialogfeld Smartcard oder andere Zertifikateigenschaften geöffnet wird, wählen Sie im Feld Zertifikat ausgestellt an das Computerzertifikat aus, das für den jeweiligen Server ausgestellt wurde.

20. Klicken Sie auf OK, und schließen Sie alle geöffneten Dialogfelder.

Sie können bestimmte Richtlinieneinstellungen in Gruppenrichtlinien aktivieren, um die Smartcard-Verwaltung in Ihrer Umgebung zu vereinfachen:

• Schwellenwert für die Kontosperrung: Sie können die Einstellungen dieser Richtlinie verwenden, um Ihren Smartcard-Authentifizierungsprozess vor Passwortangriffen zu schützen.

• Smartcard-Geräteumleitung nicht zulassen: Wenn diese Option aktiviert ist, können sich Benutzer nicht mit Smartcards bei einem Terminaldiensteserver anmelden.

• Smartcard entfernen: Mit dieser Einstellung können Sie verhindern, dass Benutzer unbeaufsichtigte aktive Sitzungen ausführen. Verwenden Sie diese Einstellungen, um anzugeben, dass die Sitzungen der Benutzer gesperrt oder abgemeldet werden, wenn sie ihre Smartcards aus dem Smartcardleser entfernen.

• Smartcard für interaktive Anmeldung erforderlich: Wenn diese Option aktiviert ist, kann sich ein Benutzer nur mit Smartcard-Authentifizierung am lokalen Computer anmelden. Der Benutzer kann kein Benutzerkonto verwenden und den Benutzernamen und das Kennwort für die Anmeldung angeben.