Intelligens kártya hitelesítés megértése és megvalósítása

a rendszergazdáknak biztosítaniuk kell a hálózatot a hackerek, kémek, terroristák, tolvajok és bűnözők által indított támadásoktól. A biztonság számos technológiát, protokollt, szabványt, Szabályzatot, jelszót és titkos kulcsot foglal magában. Mindezek a mechanizmusok általában a következőkre összpontosítanak:

• hitelesítés

• hozzáférés-vezérlés

• Adatvédelem

• könyvvizsgálat / elszámoltathatóság

a hitelesítés az a folyamat, amellyel az entitás azonosítja magát, mielőtt a hálózati bejelentkezés megengedett. A felhasználó hitelesítése után a hozzáférés-vezérlés meghatározza, hogy mely erőforrásokhoz lehet hozzáférni, milyen műveleteket lehet végrehajtani az erőforráson, és hogy ezek a műveletek auditálva vannak-e vagy sem. A hozzáférés-vezérlés az erőforrások és objektumok engedélyeinek megadásával, valamint a felhasználók jogainak hozzárendelésével valósul meg. Az adatvédelem két biztonsági fogalmat foglal magában, nevezetesen az adatok titkosságát és az adatok integritását. Az adatok titkossága az adatok biztonságával foglalkozik, mivel azokat kriptográfiai műveletek alkalmazásával továbbítják a hálózaton keresztül. A titkosítási algoritmusok, valamint a magán-és nyilvános kulcsok használata biztosítja az adatok titkosságát. Az üzenetet elfogó illetéktelen felek nem tudják értelmezni az üzenet tartalmát. Az adatok integritása az üzenetek és fájlok digitális aláírásával valósul meg. Digitális aláírások használatával meghatározhatja, hogy az üzenetet manipulálták-e vagy sem. Ebből a rövid beszélgetésből láthatjuk, hogy sok fogalom és elv szerepel a biztonság megvitatásakor. Tehát hol illeszkednek az intelligens kártyák a szervezet hálózatának és erőforrásainak a rosszindulatú támadásoktól való biztosításához. A válasz a hitelesítés.

mint korábban említettük, a hitelesítés olyan folyamat, amelynek során a felhasználók vagy más entitások azonosítják magukat, hogy megpróbálhassanak hozzáférni a hálózati erőforrásokhoz. A hitelesítés a kezdeti lépés annak a folyamatnak, amely lehetővé teszi a felhasználók számára a hálózati erőforrások elérését. Az Active Directoryban a felhasználó hitelesítése úgy történik, hogy a felhasználó megadja a felhasználói fiók hitelesítő adatait, például a felhasználó bejelentkezési nevét, jelszavát és a felhasználó biztonsági azonosítóját (Sid).

a hitelesítés Windows Server 2003 környezetben a következő két folyamatot foglalja magában:

• interaktív bejelentkezés: az interaktív bejelentkezés akkor történik, amikor a felhasználó jelszóval vagy intelligens kártyával jelentkezik be a rendszerbe.

• Hálózati hitelesítés: a Hálózati hitelesítés akkor történik, amikor a felhasználó hozzáférhet az erőforrásokhoz anélkül, hogy a felhasználónak újra meg kellene adnia ezt a jelszót vagy az intelligens kártya személyi azonosító számát (PIN-kódját).

a felhasználó vagy entitás egy megosztott titok használatával igazolja személyazonosságát. A megosztott titok lehet az alább felsorolt összetevők egyike, és titkosnak kell lennie a hitelesítést kérő felhasználó és a hitelesítő között, hogy a hitelesítés sikeres legyen:

• jelszó

• titkosítási kulcs

• egy titkos PIN

a hitelesítési protokollok a titok megosztására szolgálnak a felhasználó és a hitelesítő között. A hitelesítő ezután vagy engedélyezi a hozzáférést, vagy megtagadja a kérelmező hozzáférését. A Windows Server 2003 környezetben használható hitelesítési protokollok listája az alábbi:

• Kerberos 5-ös verzió, amelyet hálózati hitelesítéshez használnak. A Kerberos 5-ös verzióját használják az interaktív bejelentkezési hitelesítési folyamathoz, valamint a hálózati hitelesítéshez a Windows Server 2003 rendszerben.

• a hálózati hitelesítéshez használt Secure Socket Layer/Transport Layer Security (SSL/TLS) az X. 509 nyilvános kulcsú tanúsítványokon alapul.

• Microsoft Windows NT LAN Manager (NTLM), amelyet hálózati hitelesítésre használnak, de főleg a Microsoft Windows NT 4 kompatibilitására.

• Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2), amelyet hálózati hitelesítéshez és telefonos hitelesítéshez használnak.

• Password Authentication Protocol (pap), amelyet hálózati hitelesítéshez és telefonos hitelesítéshez használnak.

• bővíthető hitelesítési protokoll-szállítási szintű biztonság (EAP-TLS), amelyet vezeték nélküli kapcsolat hitelesítésére használnak.

• bővíthető hitelesítési protokoll (EAP), amelyet hálózati hitelesítéshez és telefonos hitelesítéshez használnak, és támogatja az intelligens kártyákat (hardveres hitelesítés).

a hardveres hitelesítés akkor történik, amikor a titkosítási kulcsokat intelligens kártyán, PC-kártyán vagy más kriptográfiai token mechanizmuson tárolják, és a Felhasználónak rendelkeznie kell az intelligens kártyával, valamint a PIN-kóddal vagy jelszóval a hitelesítés átadásához és a rendszerhez való hozzáféréshez. Ez további biztonsági szintet biztosít, mivel minden illetéktelen személynek, aki megpróbál hozzáférni a rendszerhez, szüksége van az intelligens kártyára, valamint a PIN-kódra vagy a jelszóra.

az intelligens kártya hitelesítése intelligens kártyák használatán alapul, és Windows 2000 és Windows Server 2003 rendszerben támogatott. Az intelligens kártya egy biztonsági eszköz vagy hitelkártya méretű hardver token, amely további védelmet nyújt az alkalmazások és a biztonsági protokollok számára.

az intelligens kártyák a következő tulajdonságokkal rendelkeznek:

• biztonságos felhasználói hitelesítési módszer

• interaktív bejelentkezés

• távoli hozzáférési bejelentkezések

• rendszergazdai bejelentkezések

• biztonságos kód aláírás

• biztonságos e-mail

hálózati környezetben általában a következő célokra használják őket

• Bejelentkezés egy számítógépre

• e-mail titkosítás

• a lemezfájlok titkosítása EFS-en keresztül

mint korábban említettük, az intelligens kártya a hitelesítés nagyon erős hitelesítést biztosít, mivel a Felhasználónak rendelkeznie kell az intelligens kártyával, és ismernie kell a személyi azonosító számot (PIN). Az intelligens kártyát letilthatja a rendszerből, miután egymást követő számú sikertelen bejelentkezési kísérlet történt. Ezen funkciók engedélyezéséhez az intelligens kártya hitelesítése magában foglalja a számítógéphez csatlakoztatott intelligens kártyaolvasó használatát. Javasolt a Plug and Play (PnP) olvasók használata A Windows Server 2003 rendszerrel. Az intelligens kártya mikroprocesszort és állandó flash memóriát tartalmaz, amely tartalmazza a felhasználó bejelentkezési adatait, privát kulcsát, digitális tanúsítványait és egyéb személyes információkat. Amikor a felhasználó behelyezi az intelligens kártyát az intelligens kártyaolvasóba, a felhasználónak meg kell adnia a PIN-kódot a rendszerbe való bejelentkezéshez. Az intelligens kártyákat úgy tervezték, hogy szabotázsálló hitelesítést biztosítsanak. Az intelligens kártyák és a szoftveres privát kulcsok közötti különbség az, hogy az intelligens kártyákat egyik számítógépről a számítógépre mozgathatja.

az intelligens kártyaolvasó általában a számítógép soros portjához, USB portjához vagy PCMCIA portjához csatlakozik. Mivel a PC-k, laptopok és PDA-k rendelkeznek ezen portok egyikével, az intelligens kártyaolvasókat minden számítógép támogatja. Az intelligens kártyák számos formában kaphatók. A többség azonban hasonlít a hitelkártyákra. A fejlettebb intelligens kártyák mágnesességet használnak. Ez azt jelenti, hogy nincs szükségük külső kapcsolatokra. A közös forma a dongle, amely elfér egy USB port. Innen a kriptográfiai szolgáltató (CSP) fér hozzá. A dongle űrlapnak nincs szüksége speciális olvasóra. Az űrlap bukása az, hogy nagyjából négyszer drágább, mint a hagyományos intelligens kártyaformák. Míg az intelligens kártya implementáció telepítése bonyolult és költséges lehet, egy másik nehéz folyamat annak meghatározása, hogy melyik szállítót használja. A Gemplus és a Schlumberger intelligens kártyatermékeinek illesztőprogramjai valójában be vannak építve az operációs rendszerbe.

Smart Card Deployment Considerations

az intelligens kártyákon keresztüli hitelesítés támogatott A Windows 2000 és a Windows Server 2003 rendszerben, de a nyilvános kulcsú infrastruktúrától (PKI) függ. A PKI-nek léteznie kell az intelligens kártya hitelesítés végrehajtása előtt. Az intelligens kártyákon alapuló hitelesítéshez ajánlott egy vállalati hitelesítésszolgáltató (CA) használata. Az önálló hitelesítésszolgáltatók és külső hitelesítésszolgáltatók használata nem javasolt az intelligens kártyás hitelesítéshez.

bár számos gyártó közül lehet választani az intelligens kártya technológiájának biztosításához, ne feledje, hogy a Windows Server 2003 nem támogatja a Plug and Play intelligens kártyaolvasókat. Ajánlott csak személyi számítógép/intelligens kártya (PC/SC) kompatibilis intelligens kártyák és olvasók használata, még akkor is, ha a gyártó nem Plug and Play intelligens kártyaolvasókat kínál, amelyek képesek működni a Windows Server 2003 rendszerrel. A PKI megvalósítása mellett minden számítógépnek intelligens kártyaolvasóra van szüksége.

mivel a költség mindig fontos tényező, az alább felsorolt tényezőket úgy tekintheti, mint amelyek befolyásolják az intelligens kártya megvalósításának adminisztrációs költségeit:

• az intelligens kártya programot használó felhasználók száma, valamint az adott felhasználók tartózkodási helye.

• az a mód, ahogyan a felhasználók intelligens kártyákat kapnak. A felhasználói identitások ellenőrzésére vonatkozó követelményeket is be kell építeni.

• az az eljárás, amelyet akkor kell alkalmazni, ha a felhasználók rosszul helyezik el vagy károsítják a számukra kiadott intelligens kártyákat.

az intelligens kártya hitelesítési megoldás tervezésekor meg kell határozni a használni kívánt hitelesítési és bejelentkezési módszereket. Ez magában foglalja:

• azonosítsa a végrehajtandó hitelesítési stratégiákat.

• PKI függőségek.

• bármilyen intelligens kártya telepítési problémák.

a PKI előkészítése intelligens kártya implementációhoz

mint korábban említettük, az intelligens kártyák a PKI megvalósításától függenek. Az intelligens kártyáknak tanúsítványokra van szükségük annak kezeléséhez, hogy mely felhasználók hitelesíthetik az intelligens kártyákat. A tanúsítványok a felhasználók, Alkalmazások, számítógépek és szolgáltatások személyazonosságának ellenőrzésére szolgálnak, és felhasználhatók az e-mailek védelmére, a webes és alkalmazáskódok hitelesítésére, valamint az intelligens kártyák használatának engedélyezésére. A hitelesítésszolgáltató (CA) tanúsítványokat bocsát ki a felhasználók és más entitások számára.

a tanúsítvány általában a következő információkat tartalmazza:

• a tanúsítvány sorozatszáma

• a felhasználót azonosító információk.

• a tanúsítványt kiállító hitelesítésszolgáltatót azonosító információ.

• a felhasználó nyilvános kulcsa

• a tanúsítvány érvényességi ideje

• a kibocsátó CA-kiszolgáló megkülönböztető neve

a PKI intelligens kártyák támogatásának képessége a Windows PKI megvalósításának vonzó tulajdonsága. Az intelligens kártyák megvalósításához az egyik első lépés a tanúsítványszolgáltatások telepítése a környezetben lévő kiszolgálóra, majd a kiszolgáló vállalati HITELESÍTÉSSZOLGÁLTATÓKÉNT történő konfigurálása. Ezt követően három tanúsítványsablont kell létrehoznia, hogy engedélyezze az intelligens kártyák használatát a szervezeten belül. A Tanúsítványsablonok olyan szabályok és beállítások halmazaként definiálhatók, amelyek meghatározzák a kiadott tanúsítványok tartalmát és formátumát a tervezett felhasználás alapján. A tanúsítványsablonokat a CAs-on konfigurálhatja a PKI megvalósításán belül. A tanúsítványsablon akkor kerül alkalmazásra, amikor a felhasználó tanúsítványt kér a hitelesítésszolgáltatótól. Csak a Windows Server 2003 enterprise CAs használja az Active Directory-ban tárolt tanúsítványsablonokat a felhasználók és a számítógépek tanúsítványainak létrehozásához.

intelligens kártya implementációhoz a következő három tanúsítványsablont kell létrehoznia:

• regisztrációs ügynök tanúsítvány: ez a tanúsítványsablon lehetővé teszi, hogy egy Windows Server 2003 rendszerű számítógép regisztrációs állomásként szolgáljon. Az enrollment station tanúsítványokat hoz létre és ad ki az intelligens kártya felhasználóinak.

• az intelligens kártya bejelentkezési tanúsítványa: ez a tanúsítványsablon lehetővé teszi a felhasználók számára az intelligens kártyák használatával történő hitelesítést.

• Intelligens Kártya Felhasználói Tanúsítványok: Ez a tanúsítványsablon lehetővé teszi a felhasználók számára az e-mailek védelmét a hitelesítés után.

intelligens kártyák megvalósítása

az intelligens kártyamegoldás szervezeten belüli megvalósításának tipikus lépéseit az alábbiakban soroljuk fel. A tényleges lépéseket az határozza meg, hogy az intelligens kártyákat hogyan használják a PKI-ben:

• beiratkozási állomás konfigurálása

• adja meg a CA és az Active Directory szükséges tanúsítványsablonjait.

• határozza meg a beiratkozási ügynököket, akik intelligens kártyákat adnak ki

• készítse elő az intelligens kártyákat

• tanúsítványok kiadása az intelligens kártyához a felhasználók számára

• konfigurálja a távoli hozzáférési kiszolgálókat az intelligens kártya hitelesítésének elfogadására

• a kiszolgálók regisztrálása számítógépes tanúsítványokhoz

mivel az intelligens kártyák által használt Tanúsítványsablonok alapértelmezés szerint nincsenek telepítve egy vállalati HITELESÍTÉSSZOLGÁLTATÓRA, a Tanúsítványsablonok konfigurálásához a Hitelesítésszolgáltató konzolt kell használnia. Ezen felül hozzá kell rendelnie a felhasználóknak a megfelelő engedélyeket a tanúsítványsablonokhoz. A tanúsítványsablon engedélyeinek módosításához az erdő gyökértartományában a Tartománygazdák csoport tagjának vagy a Vállalati rendszergazdák csoport tagjának kell lennie.

a Tanúsítványsablonok engedélyeinek beállítása

1. kattintson a Start menü Futtatás parancsára, majd írja be a certtmpl parancsot.msc A Futtatás párbeszédpanelen. Kattintson az OK gombra.

2. keresse meg és kattintson a jobb gombbal arra a tanúsítványra, amelynek engedélyeit módosítani szeretné, majd kattintson a Tulajdonságok parancsra a helyi menüben.

3. kattintson a Biztonság fülre.

4. rendeljen hozzá olyan felhasználókat és csoportokat, akiknek az adott tanúsítványsablonon, az olvasási és regisztrációs engedélyeken alapuló tanúsítványokat kell kérniük.

5. kattintson az OK gombra.

a Windows Server 2003 rendszerben található tanúsítványkiszolgáló tartalmaz egy intelligens kártya-regisztrációs állomást, amely a tanúsítványok felhasználók közötti terjesztésére használható. A smart card enrollment station segítségével kérheti az intelligens kártya tanúsítványát a felhasználó nevében. Ez viszont lehetővé teszi, hogy előre telepítse a felhasználó intelligens kártyájára. Mielőtt a felhasználók tanúsítványokat kérhetnek, elő kell készítenie a beiratkozási állomást a tanúsítványok létrehozására. A hitelesítésszolgáltató intelligens kártya tanúsítványok kiadásának előkészítésének első lépése a beiratkozási ügynök tanúsítványának létrehozása.

a regisztrációs ügynök tanúsítványának létrehozása

1. kattintson a Start menü Felügyeleti eszközök parancsára, majd a Hitelesítésszolgáltató parancsra.

2. a konzolfában bontsa ki a Certificate Authority, <Server name> és a Certificate Templates elemet.

3. kattintson az Új gombra, majd a Művelet menüben adja ki a tanúsítványt.

4. választ beiratkozási ügynök sablon. Kattintson az OK gombra.

5. a Művelet menüben kattintson az Új gombra, majd a Művelet menüben adja ki a tanúsítványt

   • ha felhasználói hitelesítéshez szeretne tanúsítványokat létrehozni, válassza az intelligens kártya bejelentkezési tanúsítványsablonját. Kattintson az OK gombra.

   • ha tanúsítványokat szeretne létrehozni a felhasználói hitelesítéshez és a felhasználói adatok titkosításához, válassza az intelligens kártya felhasználói tanúsítványsablonját. Kattintson az OK gombra.

6. a tanúsítványsablonoknak most meg kell jelenniük a konzolablakban

7. zárja be a Hitelesítésszolgáltató konzolt.

Hogyan hozzunk létre egy intelligens kártya tanúsítvány beiratkozási állomást

1. jelentkezzen be a készülékre

2. kattintson a Start menü Futtatás parancsára, majd írja be az mmc parancsot a Futtatás párbeszédpanelen. Kattintson az OK gombra

3. a Fájl menüben kattintson a beépülő modul hozzáadása/eltávolítása elemre, majd kattintson a Hozzáadás gombra.

4. kattintson duplán a tanúsítványok beépülő modulra. Kattintson az OK gombra.

5. Kattintson A Bezárás Gombra.

6. a tanúsítványok beépülő modulban bontsa ki a tanúsítványok, az aktuális felhasználó, majd a személyes elemet.

7. válassza az összes feladat lehetőséget, majd a művelet menüből kérjen új tanúsítványt.

8. amikor elindul a Tanúsítványkérés varázsló, kattintson a Tovább gombra.

9. amikor megnyílik a Tanúsítványtípusok lap, kattintson a beiratkozási ügynök elemre, majd a Tovább gombra.

10. a Tanúsítványbarát név és leírás lapon adja meg a tanúsítvány leírását. Kattintson A Tovább Gombra.

11. amikor megnyílik az összefoglaló oldal, kattintson a Befejezés gombra.

a felhasználók intelligens kártyák használatára való beállítása magában foglalja az intelligens Kártyaolvasók vásárlását és telepítését az összes felhasználói munkaállomáshoz. A Plug and Play kompatibilis intelligens Kártyaolvasók telepítése általában egyszerű hardver telepítés.

a Windows XP és a Windows Server 2003 által támogatott intelligens kártyaolvasók az alábbiakban találhatók.

• American Express, GCR435 – USB port

• Bull, SmarTLP3 – serial port

• Compaq, Serial reader – serial port

• Gemplus, GCR410P – serial port

• Gemplus, GPR400 – PCMCIA port

• Gemplus, GemPC430 – USB port

• Hewlett-Packard, ProtectTools, – serial port

• Litronic, 220P, – serial port

• Schlumberger, Reflex 20 – PCMCIA port

• Schlumberger, Reflex 72 – serial port

• Schlumberger, Reflex Lite – serial port

• SCM Microsystems, SCR111 – serial port

• SCM Microsystems, SCR120 – PCMCIA port

• SCM Microsystems, SCR200 – serial port

• SCM Microsystems, SCR300 – USB port

• Systemneeds, External – serial port

• Omnikey AG, 2010 – serial port

• Omnikey AG, 2020 – USB port

• Omnikey AG, 4000 – PCMCIA port

Some smart card a reader illesztőprogramjai előre telepítve vannak a Windows Server 2003 rendszerben, míg mások nem. Az intelligens kártyaolvasót úgy telepítheti a számítógépre, hogy az intelligens kártyaolvasót soros vagy USB porthoz csatlakoztatja. Laptopok esetén helyezze be az intelligens kártyaolvasót egy PCMCIA nyílásba.

az intelligens kártyaolvasó telepítése után a regisztrációs állomást a következő feladatokhoz kell használni:

• telepítse az intelligens kártya bejelentkezési vagy felhasználói tanúsítványait a felhasználók intelligens kártyáihoz.

• állítsa be a felhasználó kezdeti PIN-kódját.

az intelligens Kártyaolvasók telepítésekor a következő lépés az intelligens kártya tanúsítványok kiadása a felhasználók számára. Ezt a folyamatot beiratkozásnak nevezik. Mielőtt regisztrálna egy felhasználót, és kiállítaná a felhasználót intelligens kártyával, oktatnia kell a felhasználókat ezekre a pontokra:

• a felhasználóknak tartózkodniuk kell az intelligens kártya hajlításától, mert károsíthatják az intelligens kártya belső mechanizmusait.

• a felhasználóknak meg kell védeniük a külső intelligens kártya chipet a karcolódástól vagy a horpadástól. Előfordulhat, hogy az intelligens kártyaolvasó nem tudja elolvasni a kártyán tárolt információkat, ha az ilyen módon sérült.

• a felhasználóknak hűvös, száraz helyen kell tárolniuk intelligens kártyáikat, és biztonságban kell lenniük minden más mágneses forrástól, például hitelkártyától. A túlzott meleg hőmérséklet azt eredményezheti, hogy az intelligens kártya törékennyé és törékennyé válik.

intelligens kártya felhasználó regisztrálása,

1. hozzáférés a munkaállomáshoz olyan felhasználói fiókkal, amely rendelkezik a szükséges jogokkal a felhasználói fiókot tartalmazó tartomány regisztrációs ügynök Tanúsítványsablonjában.

2. nyissa meg az Internet Explorert, és a http://CA kiszolgálónév/certsrv megadásával nyissa meg a hitelesítésszolgáltatót.

3. az üdvözlő oldalon kattintson a tanúsítvány kérése elemre

4. a tanúsítvány kérése lapon kattintson a speciális Tanúsítványkérés elemre.

5. az Advanced Certificate Request (speciális tanúsítványkérelem) oldalon válassza a tanúsítvány kérése egy másik felhasználó nevében intelligens kártyához lehetőséget.

6. a Smart Card Certificate Enregistration Station lapon válassza az alábbi lehetőségek egyikének létrehozását:

   • intelligens kártya bejelentkezési tanúsítvány

   • intelligens kártya felhasználói tanúsítvány

7. a Hitelesítésszolgáltató listában válassza ki annak a tartománynak a HITELESÍTÉSSZOLGÁLTATÓJÁNAK a nevét, amelynek intelligens kártya tanúsítványokat kell kiadnia.

8. a kriptográfiai szolgáltató lista mezőbe írja be az intelligens kártyákhoz használt szállító nevét.

9. a rendszergazdai aláírási tanúsítvány mezőbe írja be annak a beiratkozási ügynöki tanúsítványnak a nevét, amely aláírja a tanúsítványigénylési kérelmet. Kattintson A Tovább Gombra.

10. a felhasználó regisztrálása lapon kattintson a felhasználó kiválasztása elemre annak a felhasználói fióknak a megkereséséhez, amelyhez intelligens kártya tanúsítványt szeretne létrehozni, majd kattintson a beiratkozás gombra.

11. helyezze a felhasználó intelligens kártyáját az intelligens kártyaolvasóba, majd kattintson az OK gombra.

12. folytassa az intelligens kártya kezdeti PIN-kódjának megadásával.

13. kattintson a Tanúsítvány megtekintése gombra annak ellenőrzéséhez, hogy a tanúsítványt a megadott felhasználónak adták-e ki.

A Windows 2000 vagy Windows Server 2003 távelérési kiszolgáló támogatja az intelligens kártyás bejelentkezést. Az intelligens kártyás bejelentkezés engedélyezéséhez ezeken a kiszolgálókon be kell állítania az RRAS szolgáltatást az Extensible Authentication Protocol (EAP) használatára. Ezután meg kell adnia az intelligens kártya bejelentkezését EAP módszerként.

Windows 2000 vagy Windows Server 2003 távelérési kiszolgáló konfigurálása intelligens kártyás bejelentkezéshez,

1. nyissa meg az RRAS konzolt az adminisztratív Toos-ból.

2. nyissa meg az intelligens kártyás bejelentkezést elfogadó távelérési kiszolgáló tulajdonságok párbeszédpaneljét.

3. kattintson a Biztonság fülre.

4. kattintson a Windows hitelesítés, majd a hitelesítési módszerek elemre.

5. válassza az Extensible Authentication Protocol (EAP) lehetőséget.

6. kettyenés EAP módszerek.

7. az elérhető lista segítségével keresse meg és kattintson duplán az intelligens kártya vagy más tanúsítvány elemre. Kattintson az OK gombra.

8. folytassa a többi hitelesítési lehetőség kijelölésének törlésével. Kattintson az OK gombra.

9. a Kiszolgáló tulajdonságok párbeszédpaneljén kattintson az OK gombra.

10. az RRAS konzolban keresse meg a távoli hozzáférési házirendeket a konzolfában.

11. kattintson duplán a Hozzáférés engedélyezése elemre, ha a betárcsázási Engedély engedélyezve van.

12. amikor megnyílik a Tulajdonságok párbeszédpanel, kattintson a Profil szerkesztése elemre.

13. kattintson a hitelesítés fülre.

14. kettyenés EAP módszerek.

15. amikor megnyílik az EAP-szolgáltatók kiválasztása párbeszédpanel, kattintson a Hozzáadás gombra.

16. az EAP hozzáadása párbeszédpanelen válassza az intelligens kártya vagy más tanúsítvány lehetőséget.

17. kattintson az OK gombra.

18. az EAP-szolgáltatók kiválasztása párbeszédpanelen kattintson a Szerkesztés gombra.

19. amikor megnyílik az intelligens kártya vagy más Tanúsítványtulajdonságok párbeszédpanel, a tanúsítvány kiállítva mezőben válassza ki az adott kiszolgálónak kiadott számítógépes tanúsítványt.

20. kattintson az OK gombra, és zárja be az összes megnyitott párbeszédpanelt.

engedélyezhet bizonyos házirend-beállításokat a csoportházirendben, amelyek segíthetnek az intelligens kártya adminisztrációjának egyszerűsítésében a környezetben:

• fiókzárolási küszöbérték: a házirend beállításaival megvédheti az intelligens kártya hitelesítési folyamatát a jelszótámadásoktól.

• ne engedélyezze az intelligens kártyaeszköz-átirányítást: ha engedélyezve van, a felhasználók nem használhatják az intelligens kártyákat a Terminálszolgáltatások kiszolgálójára történő bejelentkezéshez.

• az intelligens kártya eltávolításakor: ezzel a beállítással megakadályozhatja, hogy a felhasználók felügyelet nélküli aktív munkameneteket futtassanak. Ezekkel a beállításokkal adhatja meg, hogy a felhasználók munkamenetei zárolva vagy kijelentkezve legyenek, amikor eltávolítják az intelligens kártyáikat az intelligens kártyaolvasóból.

• intelligens kártya szükséges az interaktív bejelentkezéshez: ha engedélyezve van, a felhasználó csak intelligens kártya hitelesítéssel tud bejelentkezni a helyi számítógépre. A felhasználó nem használhat felhasználói fiókot, és nem adhatja meg a felhasználónevet és a jelszó hitelesítő adatait a bejelentkezéshez.