En Oversikt Over Autentisering Og Smartkort
Administratorer må sikre nettverket mot angrep lansert av hackere, spioner, terrorister, tyver og kriminelle. Sikkerhet omfatter en rekke teknologier, protokoller, standarder, retningslinjer, passord og hemmelige nøkler. Alle disse mekanismene fokuserer vanligvis på følgende:
-
Autentisering
-
Adgangskontroll
-
Databeskyttelse
-
Revisjon / Ansvarlighet
Autentisering Er prosessen der en enhet identifiserer seg selv, før nettverkspålogging er tillatt. Når en bruker er godkjent, definerer tilgangskontroll hvilke ressurser som kan nås, hvilke handlinger som kan utføres på ressursen, og om disse handlingene blir revidert eller ikke. Tilgangskontroll implementeres ved å angi tillatelser for ressurser og objekter, og tildele rettigheter til brukere. Databeskyttelse omfatter to sikkerhetskonsepter, nemlig datakonfidensialitet og dataintegritet. Datakonfidensialitet handler om å sikre data når de overføres over nettverket gjennom anvendelse av kryptografiske operasjoner. Krypteringsalgoritmer og bruk av private og offentlige nøkler gir data konfidensialitet. Eventuelle uautoriserte parter som fanger opp meldingen, vil ikke kunne tolke innholdet i meldingen. Dataintegritet implementeres gjennom digital signering av meldinger og filer. Gjennom bruk av digitale signaturer kan du avgjøre om meldingen ble manipulert eller ikke. Fra denne korte diskusjonen kan du se at mange konsepter og prinsipper er inkludert når man diskuterer sikkerhet. Så hvor passer smartkort inn i prosessen med å sikre en organisasjons nettverk og ressurser fra ondsinnede angrep. Svaret er autentisering.
som nevnt tidligere er autentisering en prosess der brukere eller andre enheter identifiserer seg slik at de kan forsøke å få tilgang til nettverksressurser. Autentisering er det første trinnet i prosessen med å tillate brukere å få tilgang til nettverksressurser. I Active Directory oppstår brukerautentisering av brukeren som oppgir påloggingsinformasjon for brukerkontoen, for eksempel brukernavnet, passordet og brukerens sikkerhetsidentifikator (SID).
Godkjenning I Windows Server 2003-miljøer innebærer følgende to prosesser:
-
Interaktiv pålogging: Interaktiv pålogging oppstår Når en bruker logger seg på systemet med et passord eller et smartkort.
-
nettverksautentisering: nettverksautentisering skjer når en bruker har tilgang til ressurser, uten at brukeren må skrive inn dette passordet eller DET PERSONLIGE identifikasjonsnummeret (PIN) på smartkortet.
brukeren eller enheten beviser sin identitet ved å bruke en delt hemmelighet. Den delte hemmeligheten kan være en av komponentene som er oppført nedenfor, og må være en hemmelighet mellom brukeren som ber om godkjenning, og autentiserings, for godkjenning for å lykkes:
-
et passord
-
en krypteringsnøkkel
-
en hemmelig PIN
Godkjenningsprotokoller brukes til å dele hemmeligheten mellom brukeren og autentiseringen. Godkjenneren tillater deretter tilgang eller nekter forespørselen tilgang. Godkjenningsprotokollene som kan brukes I Windows Server 2003-miljøer, er oppført nedenfor:
-
Kerberos versjon 5, som brukes til nettverksautentisering. Kerberos versjon 5 brukes til interaktiv påloggingsgodkjenning og nettverksgodkjenning I Windows Server 2003.
-
Secure Socket Layer / Transport Layer Security (SSL/TLS), brukes til nettverksautentisering og er basert På x. 509 offentlige nøkkelsertifikater.
-
MICROSOFT Windows NT LAN Manager (NTLM), brukes til nettverksautentisering, men hovedsakelig For microsoft Windows Nt 4-kompatibilitet.
-
Microsoft Challenge Handshake Authentication Protocol versjon 2 (MS-CHAP v2), som brukes til nettverksautentisering og ekstern godkjenning.
-
Passordautentiseringsprotokoll (Pap), som brukes til nettverksautentisering og oppringt godkjenning.
-
Extensible Authentication Protocol-Transport Level Security (Eap-TLS), som brukes til godkjenning av trådløs tilkobling.
-
Extensible Authentication Protocol (Eap), som brukes til nettverksautentisering og ekstern godkjenning, og inkluderer støtte for smartkort (maskinvareaktivert godkjenning).
Maskinvareaktivert godkjenning oppstår når krypteringsnøkler lagres på et smartkort, ET PC-kort eller en annen kryptografisk token-mekanisme, og brukeren må ha smartkortet og PIN-KODEN eller passordet for å passere godkjenning og få tilgang til systemet. Dette gir et ekstra sikkerhetsnivå fordi uautoriserte personer som forsøker å få tilgang til systemet, trenger smartkortet og PIN-KODEN eller passordet.
godkjenning Av Smartkort er basert på bruk av smartkort og støttes I Windows 2000 Og Windows Server 2003. Et smartkort er en sikkerhetsenhet eller kredittkort størrelse maskinvare token som kan brukes til å gi ekstra beskyttelse til programmer og sikkerhetsprotokoller.
Smartkort gir følgende funksjoner:
-
Sikker metode for brukerautentisering
-
Interaktiv pålogging
-
Ekstern pålogging
-
Administrator logons
-
Sikker kodesignering
-
Sikker e-post
i nettverksmiljøer brukes de vanligvis til følgende formål
-
Logge på en datamaskin
-
Kryptering av e-post
-
Kryptering av diskfiler gjennom EFS
som nevnt tidligere, smartkort autentisering gir svært sterk autentisering fordi brukeren må ha smartkortet, og brukeren må kjenne DET personlige identifikasjonsnummeret (PIN). Du kan blokkere et smartkort fra systemet etter at et påfølgende antall mislykkede påloggingsforsøk er gjort. For å aktivere disse funksjonene innebærer smartkortautentisering bruk av en smartkortleser som er koblet til datamaskinen. Det anbefales å bruke Plug and Play (PnP) lesere Med Windows Server 2003. Smartkortet inneholder en mikroprosessor og permanent flashminne som inneholder brukerens påloggingsinformasjon, privat nøkkel, digitale sertifikater og annen privat informasjon. Når brukeren setter inn smartkortet i smartkortleseren, må brukeren oppgi PIN-KODEN for å logge på systemet. Smartkort er utformet for å gi sabotasjebestandig autentisering. Forskjellen mellom smartkort og programvare private nøkler er at du kan flytte smartkort fra en datamaskin til datamaskin.
smartkortleseren er vanligvis koblet til seriell port, USB-port eller PCMCIA-port på datamaskinen. Siden Pcer, bærbare datamaskiner og Pdaer har en av disse portene, støttes smartkortlesere av alle datamaskiner. Smartkort er tilgjengelig i en rekke former. Flertallet skjønt har en likhet med kredittkort. De mer avanserte smartkort utnytte magnetics. Hva dette betyr er at de ikke trenger å ha eksterne kontakter. En vanlig form er donglen som kan passe inn I EN USB-port. Herfra er Det tilgjengelig Av Cryptographic Service Provider (CSP). Dongle-skjemaet trenger ikke noen spesiell leser. Fall av skjemaet er at det er omtrent fire ganger dyrere enn de konvensjonelle smartkort skjemaene. Mens installasjonen av en smartkort implementering kan være komplisert og dyrt, er en annen vanskelig prosess å bestemme hvilken leverandør å bruke. Driverne av smartkortprodukter Fra Gemplus Og Schlumberger er faktisk innebygd i operativsystemet.
Hensyn Til Distribusjon Av Smartkort
Godkjenning via smartkort støttes I Windows 2000 Og Windows Server 2003, men er avhengig Av Infrastrukturen For Fellesnøkkel (Pki). PKI må eksistere før du kan implementere smartkortautentisering. Det anbefales å bruke en enterprise certification authority (CA) for godkjenning basert på smartkort. Frittstående CAs og eksterne CA-enheter anbefales ikke for bruk med smartkortautentisering.
mens det er ganske mange leverandører å velge mellom for å gi smartkort-teknologi, husk At Windows Server 2003 ikke støtter On-Plug and Play smartkortlesere. Det anbefales at Du bare bruker Pc/Smartkort (PC/SC)-kompatible smartkort og-lesere, selv når en leverandør tilbyr Ikke-Plug and Play-smartkortlesere som kan fungere Med Windows Server 2003. I tillegg til implementeringen AV EN PKI, trenger hver datamaskin en smartkortleser.
fordi kostnadene alltid er en viktig faktor, kan du vurdere faktorene som er oppført nedenfor som de som påvirker kostnadene ved å administrere en smartkortimplementering:
-
antall brukere som vil bruke smartkortprogrammet, samt hvor disse bestemte brukerne befinner seg.
-
måten som brukerne kommer til å bli utstedt smartkort. Kravene for å verifisere brukeridentiteter bør også inkluderes.
-
prosedyren som skal brukes når brukerne mister eller skader smartkortene som ble utstedt til dem.
når du planlegger en smartkortautentiseringsløsning, må du definere autentiserings-og påloggingsmetodene som skal utnyttes. Dette vil inkludere:
-
identifisere autentiseringsstrategiene som skal implementeres.
-
PKI avhengigheter.
-
eventuelle problemer med distribusjon av smartkort.
Forbereder PKI For En Smartkortimplementering
som nevnt tidligere, er smartkort avhengig av implementeringen AV EN PKI. Smartkort trenger sertifikater for å administrere hvilke brukere som har lov til å godkjenne ved hjelp av smartkort. Sertifikater brukes til å bekrefte identiteten til brukere, programmer, datamaskiner og tjenester, og kan brukes til å sikre e-post, for web-og programkodegodkjenning og for å muliggjøre bruk av smartkort. En sertifiseringsinstans (CA) utsteder sertifikater til brukere og andre enheter.
sertifikatet vil vanligvis inneholde følgende informasjon:
-
serienummeret til sertifikatet
-
Informasjon som identifiserer brukeren.
-
Informasjon som identifiserer CA som utstedte sertifikatet.
-
brukerens offentlige nøkkel
-
gyldighetsperioden for sertifikatet
-
det unike navnet på DEN utstedende CA-serveren
pkis evne til å støtte smartkort er en attraktiv funksjon I windows PKI-implementeringen. Hvis du vil implementere smartkort, er et av de første trinnene å installere sertifikattjenester på en server i miljøet, og konfigurere serveren SOM en ENTERPRISE CA. Etter dette må du opprette tre sertifikatmaler for å aktivere bruk av smartkort i organisasjonen. Sertifikatmaler kan defineres som et sett med regler og innstillinger som angir innholdet og formatet til sertifikater som utstedes, basert på tiltenkt bruk. Du kan konfigurere sertifikatmaler på CAs i PKI-implementeringen. Sertifikatmalen brukes når en bruker ber om et sertifikat fra CA. Bare Windows Server 2003 enterprise CAs bruker sertifikatmaler som er lagret I Active Directory, til å opprette sertifikater for brukere og datamaskiner.
for en smartkortimplementering må du opprette følgende tre sertifikatmaler:
-
Registreringsagentsertifikat: denne sertifikatmalen gjør det mulig For en Windows Server 2003-datamaskin å fungere som en påmeldingsstasjon. Påmeldingsstasjonen oppretter og utsteder sertifikater til smartkortbrukere.
-
Smartkort-Påloggingssertifikatet: denne sertifikatmalen gjør det mulig for brukere å godkjenne ved hjelp av smartkort.
-
Smartkort Bruker Sertifikater: Denne sertifikatmalen gjør det mulig for brukere å sikre e-post etter godkjenning.
Implementere Smartkort
de typiske trinnene for å implementere en smartkortløsning i en organisasjon er oppført nedenfor. De faktiske trinnene bestemmes av måten smartkort brukes på I PKI:
-
Konfigurer en påmeldingsstasjon
-
Definer de nødvendige sertifikatmalene FOR CA og Active Directory.
-
Definer påmeldingsagenter som skal utstede smartkort
-
forbered smartkortene
-
Utsted sertifiseringertil smartkortet for brukere
-
Konfigurer servere for ekstern tilgang til å godta smartkortautentisering
-
Registrer serverne For Datasertifikater
fordi sertifikatmaler som brukes av smartkort ikke er installert på en ENTERPRISE CA som standard, må Du bruke Sertifiseringsinstans-konsollen til å konfigurere disse sertifikatmalene. I tillegg til dette må du tilordne brukerne de riktige tillatelsene for sertifikatmalene. Hvis du vil endre tillatelser for en sertifikatmal, må du være medlem Av Domeneadministratorer-gruppen i skogrotdomenet eller Medlem Av Bedriftsadministratorer-gruppen.
slik angir du tillatelser på sertifikatmaler
-
Klikk Start, Kjør og skriv inn certtmpl.msc i Dialogboksen Kjør. Klikk OK.
-
Finn og høyreklikk sertifikatet du vil endre tillatelsene for, og klikk Deretter Egenskaper på hurtigmenyen.
-
Klikk Kategorien Sikkerhet.
-
Tilordne brukere og grupper som trenger å be om sertifikater som er basert på den bestemte sertifikatmalen, Lese-og Registreringstillatelsene.
-
Klikk OK.
sertifikatserveren som er inkludert I Windows Server 2003, inneholder en smartkortregistreringsstasjon som kan brukes til å distribuere sertifikater til brukere. Du kan bruke smartkortregistreringsstasjonen til å be om et smartkortsertifikat på vegne av brukeren. Dette i sin tur gjør det mulig å forhåndsinstallere den på smartkortet til brukeren. Før brukere kan be om sertifikater, må du forberede påmeldingsstasjonen for å opprette sertifikatene. DET første trinnet i å forberede CA til å utstede smartkort sertifikater er å opprette Registreringsagentsertifikatet.
slik oppretter Du Registreringsagentsertifikatet
-
Klikk Start, Administrative Verktøy, Og klikk Deretter Sertifiseringsinstans.
-
i konsolltreet utvider Du Sertifikatautoritet, < Servernavn> og Sertifikatmaler.
-
Klikk Ny, Og Deretter Sertifikat For Å Utstede Fra Handling-menyen.
-
Velg Mal For Registrering Agent. Klikk OK.
-
Klikk Ny På Handling-menyen, og Deretter Sertifikat For Å Utstede Fra Handling-menyen
-
hvis Du vil opprette sertifikater for brukergodkjenning, velger Du sertifikatmalen smartkort-Pålogging. Klikk OK.
-
hvis Du vil opprette sertifikater for brukergodkjenning og for kryptering av brukerens informasjon, velger Du malen For smartkortbrukersertifikat. Klikk OK.
-
-
sertifikatmalene skal nå vises i konsollvinduet
-
Lukk Konsollen For Sertifiseringsinstans.
hvordan lage en smart card certificate enrollment station
-
Logg på maskinen
-
Klikk Start, Kjør, og skriv inn mmc i Dialogboksen Kjør. Klikk OK
-
Klikk Legg Til / Fjern Snapin-modul På Fil-menyen, og klikk Deretter Legg Til.
-
Dobbeltklikk Snapin-modulen For Sertifikater. Klikk OK.
-
Klikk Lukk.
-
utvid Sertifikater, Gjeldende Bruker og Deretter Personlig i Snapin-modulen Sertifikater.
-
Velg Alle Oppgaver, Og Be Om Nytt Sertifikat fra Handling-menyen.
-
når Veiviseren For Sertifikatforespørsel starter, klikker Du Neste.
-
når Siden Sertifikattyper åpnes, klikker Du Registreringsagent og klikker Deretter Neste.
-
angi en beskrivelse for sertifikatet På Siden Sertifikatvennlig Navn og Beskrivelse. Klikk På Neste.
-
når sammendragssiden åpnes, klikker Du På Fullfør.
Sette opp brukere til å bruke smartkort inkluderer kjøp og installasjon av smartkortlesere for alle bruker arbeidsstasjoner. Installere smartkortlesere Som Er Plug and Play-kompatible, er vanligvis en ukomplisert maskinvareinstallasjon.
smartkortleserne som støttes Av Windows XP og Windows Server 2003, er oppført nedenfor.
-
American Express, GCR435 – USB port
-
Bull, SmarTLP3 – serial port
-
Compaq, Serial reader – serial port
-
Gemplus, GCR410P – serial port
-
Gemplus, GPR400 – PCMCIA port
-
Gemplus, GemPC430 – USB port
-
Hewlett-Packard, ProtectTools, – serial port
-
Litronic, 220P, – serial port
-
Schlumberger, Reflex 20 – PCMCIA port
-
Schlumberger, Reflex 72 – serial port
-
Schlumberger, Reflex Lite – serial port
-
SCM Microsystems, SCR111 – serial port
-
SCM Microsystems, SCR120 – PCMCIA port
-
SCM Microsystems, SCR200 – serial port
-
SCM Microsystems, SCR300 – USB port
-
Systemneeds, External – serial port
-
Omnikey AG, 2010 – serial port
-
Omnikey AG, 2020 – USB port
-
Omnikey AG, 4000 – PCMCIA port
Some smart card leserens drivere er forhåndsinstallert I Windows Server 2003, mens andre ikke er det. Du kan installere en smartkortleser på datamaskinen ved å koble smartkortleseren til en seriell port eller USB-port. For bærbare datamaskiner, sett inn smartkortleseren i ET PCMCIA-spor.
når smartkortleseren er installert, Må Påmeldingsstasjonen brukes til følgende oppgaver:
-
Installer smartkortpålogging eller brukersertifikater for brukernes smartkort.
-
Angi den første PIN-KODEN for brukeren.
når smartkortleserne er installert, er neste trinn å utstede smartkort sertifikater til brukere. Denne prosessen er kjent som innmelding. Før du registrerer en bruker, og utsteder brukeren med smartkort, bør du utdanne brukere på disse punktene:
-
Brukere bør avstå fra å bøye smartkortet fordi de kan skade de interne mekanismene til smartkortet.
-
Brukere bør beskytte den eksterne smartkortbrikken fra å bli riper eller bulket. Det kan hende at smartkortleseren ikke kan lese informasjonen som er lagret på kortet, hvis den er skadet på denne måten.
-
Brukere bør lagre sine smartkort på et kjølig tørt sted, og trygt fra andre magnetiske kilder som kredittkort. Overdreven varme temperaturer kan føre til at smartkortet blir sprø og ødelagt.
slik registrerer du en smartkortbruker,
-
Få tilgang til arbeidsstasjonen ved hjelp av en brukerkonto som har de nødvendige rettighetene i Registreringsagentsertifikatmalen for domenet som inneholder brukerkontoen.
-
Åpne Internet Explorer, og få TILGANG TIL CA ved å skrive inn http://CA servernavn / certsrv.
-
Klikk På Be om Et Sertifikat På Velkomstsiden
-
klikk Avansert Sertifikatforespørsel På Siden Be Om Et Sertifikat.
-
velg Alternativet Be om Et Sertifikat For Et Smartkort på vegne av En Annen bruker På Siden Avansert Sertifikatforespørsel.
-
velg å opprette ett av følgende på Siden Sertifikatregistreringsstasjon For Smartkort:
-
smartkort påloggingssertifikat
-
Smartkort bruker sertifikat
-
-
velg NAVNET PÅ SERTIFISERINGSINSTANSEN for domenet som skal utstede smartkortsertifikater, i Listeboksen Sertifikatmyndighet.
-
skriv inn navnet på leverandøren du bruker for smartkort, i Listen Kryptografisk Tjenesteleverandør.
-
skriv inn navnet på registreringsagentsertifikatet som skal signere sertifikatregistreringsforespørselen, i Boksen Administrator-Signeringssertifikat. Klikk På Neste.
-
Klikk Velg Bruker for å finne brukerkontoen du vil opprette et smartkortsertifikat for, og Klikk På Registrer.
-
Plasser smartkortet til brukeren i smartkortleseren, og klikk PÅ OK.
-
Fortsett å skrive inn den første PIN-KODEN for smartkortet.
-
Klikk Vis Sertifikat for å bekrefte at sertifikatet ble utstedt til brukeren du angav.
en ekstern tilgangsserver For Windows 2000 eller Windows Server 2003 støtter pålogging med smartkort. Hvis du vil aktivere smartkort-pålogging for disse serverne, må DU konfigurere rras-tjenesten til å bruke Extensible Authentication Protocol (Eap). Deretter, du må angi smartkort pålogging SOM eap-metoden.
konfigurere en ekstern tilgangsserver For windows 2000 eller Windows Server 2003 for pålogging med smartkort,
-
Åpne rras-konsollen Fra Administrative Toos.
-
Fortsett å åpne Dialogboksen Egenskaper for ekstern tilgangsserveren som skal godta smartkortpålogging.
-
Klikk Kategorien Sikkerhet.
-
Klikk Windows-Godkjenning, og Klikk Godkjenningsmetoder.
-
Velg Alternativet Extensible Authentication Protocol (Eap).
-
Klikk Eap-Metoder.
-
Bruk den tilgjengelige listen til å finne Og dobbeltklikke Smartkort eller Annet Sertifikat. Klikk OK.
-
Fortsett å fjerne merkingen av de andre godkjenningsalternativene. Klikk OK.
-
klikk OK I Dialogboksen egenskaper for serveren.
-
finn Policyer For Ekstern Tilgang i konsolltreet i rras-konsollen.
-
Dobbeltklikk Tillat Tilgang Hvis Innringingstillatelse Er Aktivert.
-
når Dialogboksen Egenskaper åpnes, klikker Du Rediger Profil.
-
Klikk Kategorien Godkjenning.
-
Klikk Eap-Metoder.
-
når Dialogboksen Velg Eap-Leverandører åpnes, klikker Du Legg Til.
-
velg Alternativet Smartkort eller Annet Sertifikat i Dialogboksen Legg TIL EAP.
-
Klikk OK.
-
Klikk Rediger I Dialogboksen Velg Eap-Leverandører.
-
når Dialogboksen Smartkort Eller Andre Sertifikategenskaper åpnes, velger du datamaskinsertifikatet utstedt til den bestemte serveren i Sertifikat Utstedt til-boksen.
-
Klikk OK, og lukk alle åpne dialogbokser.
du kan aktivere bestemte policyinnstillinger I Gruppepolicy som kan bidra til å forenkle administrasjon av smartkort i miljøet:
-
sperregrense For Konto: du kan bruke innstillingene i denne policyen til å beskytte smartkortgodkjenningsprosessen mot passordangrep.
-
ikke tillat omdirigering av smartkortenheter: når dette er aktivert, kan ikke brukere bruke smartkort til å logge På En Terminal Services-server.
-
Ved fjerning av smartkort: du kan bruke denne innstillingen til å hindre at brukere kjører aktive økter uten tilsyn. Bruk disse innstillingene til å angi at brukernes økter er låst eller logget av når de fjerner smartkort fra smartkortleseren.
-
Smartkort kreves for interaktiv pålogging: når aktivert, kan en bruker bare logge på den lokale datamaskinen ved hjelp av smartkortgodkjenning. Brukeren kan ikke bruke en brukerkonto og oppgi brukernavn og passord legitimasjon for å logge på.