Smartcardverificatie begrijpen en implementeren

een overzicht van authenticatie en smartcards

beheerders moeten het netwerk beveiligen tegen aanvallen van hackers, spionnen, terroristen, dieven en criminelen. Beveiliging omvat tal van technologieën, protocollen, standaarden, beleid, wachtwoorden en geheime sleutels. Al deze mechanismen richten zich meestal op het volgende::

• authenticatie

• Access Control

• bescherming van gegevens

• Auditing / verantwoording

authenticatie is het proces waarmee een entiteit zichzelf identificeert, voordat netwerkaanmelding is toegestaan. Nadat een gebruiker is geverifieerd, bepaalt Toegangscontrole welke bronnen toegankelijk zijn, welke acties op de bron kunnen worden uitgevoerd en of deze acties al dan niet worden gecontroleerd. Toegangscontrole wordt geïmplementeerd door Machtigingen voor bronnen en objecten op te geven en gebruikers rechten toe te wijzen. Gegevensbescherming omvat twee beveiligingsconcepten, namelijk vertrouwelijkheid van gegevens en integriteit van gegevens. Vertrouwelijkheid van gegevens houdt zich bezig met het beveiligen van gegevens die via het netwerk worden verzonden door middel van cryptografische bewerkingen. Versleutelingsalgoritmen en het gebruik van private en publieke sleutels zorgen voor vertrouwelijkheid van gegevens. Onbevoegde partijen die het bericht onderscheppen, kunnen de inhoud van het bericht niet interpreteren. Data-integriteit wordt geïmplementeerd door het digitaal ondertekenen van berichten en bestanden. Door het gebruik van digitale handtekeningen kunt u bepalen of er met het bericht is geknoeid of niet. Uit deze korte discussie, kunt u zien dat veel concepten en principals zijn opgenomen bij het bespreken van veiligheid. Dus waar past smart cards in het proces van het beveiligen van het netwerk en de middelen van een organisatie tegen kwaadaardige aanvallen. Het antwoord is authenticatie.

zoals eerder vermeld, is authenticatie een proces waarbij gebruikers of andere entiteiten zich identificeren zodat ze kunnen proberen toegang te krijgen tot netwerkbronnen. Authenticatie is de eerste stap in het proces om gebruikers toegang te geven tot netwerkbronnen. In Active Directory wordt gebruikersverificatie uitgevoerd door de gebruiker die gebruikersaccountreferenties verstrekt, zoals de aanmeldingsnaam van de gebruiker, het wachtwoord en de SID (security identifier) van de gebruiker.

authenticatie in Windows Server 2003-omgevingen omvat de volgende twee processen:

• interactief aanmelden: interactief aanmelden gebeurt wanneer een gebruiker zich aanmeldt bij het systeem met behulp van een wachtwoord of smartcard.

• Netwerkverificatie: Netwerkverificatie vindt plaats wanneer een gebruiker toegang heeft tot bronnen, zonder dat de gebruiker dit wachtwoord of het persoonlijke identificatienummer (PIN) van de smartcard opnieuw hoeft in te voeren.

de gebruiker of entiteit bewijst zijn identiteit door gebruik te maken van een gedeeld geheim. Het gedeelde geheim kan een van de onderdelen hieronder, en heeft een geheim tussen de gebruiker het aanvragen van verificatie, en de authenticator, voor authentificatie succesvol:

• Een wachtwoord

• Een coderingssleutel

• Een geheime PIN-code in

Verificatie-protocollen worden gebruikt voor het delen van het geheim tussen de gebruiker en authenticator. De authenticator staat dan ofwel toegang toe of weigert de aanvrager toegang. De verificatieprotocollen die kunnen worden gebruikt in Windows Server 2003-omgevingen staan hieronder vermeld:

• Kerberos versie 5, gebruikt voor Netwerk authenticatie. Kerberos versie 5 wordt gebruikt voor het interactieve aanmeldingsproces en voor netwerkverificatie in Windows Server 2003.

• Secure Socket Layer / Transport Layer Security (SSL / TLS), gebruikt voor netwerkverificatie en is gebaseerd op X. 509 publieke sleutelcertificaten.

• Microsoft Windows NT LAN Manager (NTLM), gebruikt voor Netwerk authenticatie maar vooral voor Microsoft Windows NT 4 Compatibiliteit.

• Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2), gebruikt voor netwerkverificatie en inbelverificatie.

• PAP (Password Authentication Protocol), gebruikt voor netwerkverificatie en inbelverificatie.

• Extensible Authentication Protocol-Transport Level Security (EAP-TLS), gebruikt voor verificatie van draadloze verbindingen.

• EAP (Extensible Authentication Protocol), gebruikt voor netwerkverificatie en inbelverificatie, en bevat ondersteuning voor smartcards (verificatie met hardware).

verificatie met Hardware vindt plaats wanneer versleutelingssleutels zijn opgeslagen op een smartcard, een PC-kaart of een ander cryptografisch tokenmechanisme en de gebruiker de smartcard en de pincode of het wachtwoord moet hebben om de verificatie door te geven en toegang te krijgen tot het systeem. Dit biedt een extra beveiligingsniveau omdat onbevoegde personen die toegang tot het systeem proberen te krijgen, de smartcard en de pincode of het wachtwoord nodig hebben.Smartcardverificatie is gebaseerd op het gebruik van smartcards en wordt ondersteund in Windows 2000 en Windows Server 2003. Een smartcard is een beveiligingsapparaat of creditcard formaat hardware token die kan worden gebruikt om extra bescherming te bieden aan toepassingen en beveiligingsprotocollen.

smartcards bieden de volgende functies:

• Veilige methode voor verificatie van gebruikers

• Interactief aanmelden

• ras-aanmeldingen

• Beheerder aanmeldingen

• Secure code signing

• Secure e-mail

In netwerk omgevingen, meestal worden ze gebruikt voor de volgende doeleinden

• het Inloggen op een computer

• Encryptie van e-mail

• Encryptie van disk-bestanden door middel van EFS

Zoals eerder vermeld, smart card authenticatie biedt zeer sterke authenticatie omdat de gebruiker de smartcard moet bezitten en de gebruiker het persoonlijke identificatienummer (PIN) moet kennen. U kunt een smartcard uit het systeem blokkeren na een aantal mislukte aanmeldingspogingen. Om deze functies in te schakelen, wordt bij smartcardverificatie gebruik gemaakt van een smartcardlezer die op de computer is aangesloten. Het wordt aanbevolen om Plug and Play (PnP) lezers te gebruiken met Windows Server 2003. De smartcard bevat een microprocessor en een permanent flashgeheugen dat de aanmeldingsgegevens van de gebruiker, privésleutel, digitale certificaten en andere privégegevens bevat. Wanneer de gebruiker de smartcard in de chipkaartlezer plaatst, moet de gebruiker de pincode opgeven om in te loggen op het systeem. Smartcards zijn ontworpen om sabotagebestendige authenticatie te bieden. Het verschil tussen smartcards en software private keys is dat je smartcards van de ene computer naar de computer kunt verplaatsen.

de chipkaartlezer is meestal aangesloten op de seriële poort, USB-poort of PCMCIA-poort van de computer. Aangezien pc ‘s, laptopcomputers en PDA’ s een van deze poorten hebben, worden smartcardlezers door alle computers ondersteund. Smartcards zijn beschikbaar in een aantal vormen. De meerderheid heeft echter een gelijkenis met creditcards. De meer geavanceerde smartcards gebruiken magnetics. Dit betekent dat ze geen externe contacten nodig hebben. Een veel voorkomende vorm is de dongle die in een USB-poort kan passen. Vanaf hier wordt het benaderd door de cryptografische serviceprovider (CSP). De dongle vorm heeft geen speciale lezer nodig. De ondergang van het formulier is dat het is ongeveer vier keer duurder dan de conventionele smart card formulieren. Terwijl de installatie van een smart card implementatie complex en duur kan zijn, een ander moeilijk proces is het bepalen van welke leverancier te gebruiken. De drivers van smart card producten van Gemplus en Schlumberger zijn eigenlijk ingebouwd in het besturingssysteem.

overwegingen voor de implementatie van smartcards

authenticatie via smartcards wordt ondersteund in Windows 2000 en Windows Server 2003, maar is afhankelijk van de Public Key Infrastructure (PKI). De PKI moet bestaan voordat u smart card authenticatie kunt implementeren. Voor verificatie op basis van smartcards wordt aanbevolen een CA (enterprise certification authority) te gebruiken. Zelfstandige CA ‘ s en externe CA-entiteiten worden niet aanbevolen voor gebruik met smartcardverificatie.

hoewel er een groot aantal leveranciers zijn om uit te kiezen om uw smartcardtechnologie aan te bieden, vergeet niet dat Windows Server 2003 Geen on-Plug and Play smartcardlezers ondersteunt. Het wordt aanbevolen om alleen gebruik te maken van Personal Computer/Smart Card (PC/SC) compatibele smartcards en lezers, zelfs als een leverancier biedt niet-Plug and Play smart card lezers die kunnen werken met Windows Server 2003. Naast de implementatie van een PKI heeft elke computer een chipkaartlezer nodig.

omdat kosten altijd een belangrijke factor zijn, kunt u de hieronder vermelde factoren beschouwen als factoren die van invloed zijn op de kosten van het beheren van een smartcard-implementatie:

• het aantal gebruikers dat het smartcard-programma zal gebruiken, evenals waar deze specifieke gebruikers zich bevinden.

• de wijze waarop de gebruikers smartcards zullen worden uitgegeven. De vereisten voor het verifiëren van gebruikersidentiteiten moeten ook worden opgenomen.

• de procedure die moet worden toegepast wanneer gebruikers de smartcards die aan hen zijn afgegeven, misplaatsen of beschadigen.

bij het plannen van een smart card-verificatieoplossing moet u de authenticatie-en aanmeldingsmethoden definiëren die zullen worden gebruikt. Dit zou onder meer:

• Identificatie van de authenticatiestrategieën die zullen worden geïmplementeerd.

• PKI afhankelijkheden.

• problemen met de implementatie van smartcards.

voorbereiding van de PKI voor een implementatie van smartcards

zoals eerder vermeld, zijn smartcards afhankelijk van de implementatie van een PKI. Smartcards hebben certificaten nodig om te beheren welke gebruikers zich met smartcards mogen authenticeren. Certificaten worden gebruikt om de identiteit van gebruikers, toepassingen, computers en services te verifiëren; en kunnen worden gebruikt om e-mail te beveiligen, voor verificatie van Web-en toepassingscodes en om het gebruik van smartcards in te schakelen. Een certificaatautoriteit (CA) geeft certificaten uit aan gebruikers en andere entiteiten.

het certificaat zou gewoonlijk de volgende informatie bevatten:

• volgnummer van het certificaat

• informatie die de gebruiker identificeert.

• informatie die de CA identificeert die het certificaat heeft uitgegeven.

• de publieke sleutel van de gebruiker

• de geldigheidsduur van het certificaat

• de DN-naam van de uitgevende CA-server

de mogelijkheid van de PKI om smartcards te ondersteunen is een aantrekkelijke eigenschap van de Windows PKI-implementatie. Als u smartcards wilt implementeren, is een van de eerste stappen het installeren van certificate services op een server in uw omgeving en het configureren van de server als een ondernemingscertificeringsinstantie. Hierna moet u drie certificaatsjablonen maken om het gebruik van smartcards binnen uw organisatie mogelijk te maken. Certificaatsjablonen kunnen worden gedefinieerd als een set regels en instellingen die de inhoud en het formaat specificeren van certificaten die worden uitgegeven, op basis van het beoogde gebruik. U configureert certificaatsjablonen op de Ca ‘ s binnen uw PKI-implementatie. De certificaatsjabloon wordt toegepast wanneer een gebruiker een certificaat aanvraagt bij de certificeringsinstantie. Alleen Windows Server 2003 enterprise-CA ‘ s maken gebruik van certificaatsjablonen die zijn opgeslagen in Active Directory om certificaten voor gebruikers en computers te maken.

voor een implementatie van smartcards moet u de volgende drie certificaatsjablonen maken:

• Inschrijvingsagentcertificaat: met deze certificaatsjabloon kan een Windows Server 2003-computer worden gebruikt als inschrijvingsstation. Het inschrijvingsstation maakt en geeft certificaten uit aan smartcardgebruikers.

• het Aanmeldingscertificaat voor smartcards: met deze certificaatsjabloon kunnen gebruikers zich aanmelden met smartcards.

• Smartcard Gebruikerscertificaten: Met deze certificaatsjabloon kunnen gebruikers e-mail beveiligen na verificatie.

implementatie van smartcards

de typische stappen voor het implementeren van een smartcardoplossing in een organisatie staan hieronder vermeld. De werkelijke stappen worden bepaald door de manier waarop smartcards worden gebruikt in de PKI:

• een inschrijvingsstation configureren

• Definieer de benodigde certificaatsjablonen voor de CA en Active Directory.

• het Definiëren van inschrijving agenten die probleem smart cards

• de Voorbereiding van de smart cards

• Probleem certificatesto de smartcard voor gebruikers

• het Configureren van remote access servers te accepteren smart card verificatie

• Inschrijven voor de servers voor Computer certificaten

Omdat het certificaat sjablonen gebruikt door smart cards zijn niet geïnstalleerd op een ondernemingscertificeringsinstantie standaard, moet u gebruik maken van de certificeringsinstantie console gebruiken voor het configureren van deze certificaatsjablonen. Daarnaast moet u gebruikers de juiste machtigingen voor de certificaatsjablonen toewijzen. Als u de machtigingen voor een certificaatsjabloon wilt wijzigen, moet u lid zijn van de groep Domeinadministrators in het foresthoofddomein of lid zijn van de groep Ondernemingsadministrators.

Machtigingen voor certificaatsjablonen instellen

1. klik op Start, Uitvoeren en voer certtmpl in.msc in het dialoogvenster Uitvoeren. Klik op OK.

2. Klik met de rechtermuisknop op het certificaat waarvan u de machtigingen wilt wijzigen en klik vervolgens op Eigenschappen in het snelmenu.

3. klik op het tabblad Beveiliging.

4. wijs gebruikers en groepen toe die certificaten moeten aanvragen op basis van de specifieke certificaatsjabloon, de machtigingen Lezen en inschrijven.

5. klik op OK.

de certificaatserver in Windows Server 2003 bevat een smartcard enrollment station waarmee certificaten aan gebruikers kunnen worden gedistribueerd. U kunt het smartcardinschrijvingsstation gebruiken om namens de gebruiker een smartcardcertificaat aan te vragen. Dit stelt u op zijn beurt in staat om het vooraf te installeren op de smartcard van de gebruiker. Voordat gebruikers certificaten kunnen aanvragen, moet u het inschrijvingsstation voorbereiden om de certificaten te maken. De eerste stap om de CA voor te bereiden op de uitgifte van smartcardcertificaten is het maken van het Inschrijvingsagentcertificaat.

het Inschrijvingsagentcertificaat maken

1. klik op Start, Systeembeheer en klik vervolgens op Certificeringsinstantie.

2. vouw in de consolestructuur certificaatautoriteit, <servernaam> en Certificaatsjablonen uit.

3. klik op nieuw en vervolgens op te geven certificaat in het menu Actie.

4. kies sjabloon Inschrijvingsagent. Klik op OK.

5. klik in het menu Actie op nieuw en vervolgens op te geven certificaat in het menu Actie

   • als u certificaten wilt maken voor gebruikersverificatie, kiest u de aanmeldingscertificaatsjabloon voor smartcards. Klik op OK.

   • als u certificaten wilt maken voor gebruikersverificatie en voor de versleuteling van de informatie van de gebruiker, kiest u de sjabloon voor het gebruikerscertificaat van de smartcard. Klik op OK.

6. de certificaatsjablonen moeten nu in het consolevenster worden weergegeven

7. sluit de console Certificeringsinstantie.

een smartcard-certificaatinschrijvingsstation maken

1. inloggen op de machine

2. klik op Start, Uitvoeren en voer mmc in het dialoogvenster Uitvoeren in. Klik op OK

3. klik in het menu Bestand op Module toevoegen/verwijderen en klik vervolgens op Toevoegen.

4. Dubbelklik op de module Certificaten. Klik op OK.

5. Klik Op Sluiten.

6. vouw in de module Certificaten certificaten, huidige gebruiker en vervolgens persoonlijk uit.

7. Selecteer alle taken en vraag vervolgens een nieuw certificaat aan in het menu Actie.

8. wanneer de wizard certificaataanvraag wordt gestart, klikt u op Volgende.

9. wanneer de pagina Certificaattypen wordt geopend, klikt u op Inschrijvingsagent en klikt u vervolgens op Volgende.

10. voer op de pagina Certificaatvriendelijke naam en beschrijving een beschrijving voor het certificaat in. Klik Op Volgende.

11. wanneer de overzichtspagina wordt geopend, klikt u op Voltooien.

het instellen van gebruikers om smartcards te gebruiken omvat de aankoop en installatie van smartcardlezers voor alle gebruikerswerkstations. Het installeren van smart card readers die Plug and Play compatibel zijn is meestal een ongecompliceerde hardware-installatie.

de chipkaartlezers die worden ondersteund door Windows XP en Windows Server 2003 worden hieronder weergegeven.

• American Express, GCR435 – USB port

• Bull, SmarTLP3 – serial port

• Compaq, Serial reader – serial port

• Gemplus, GCR410P – serial port

• Gemplus, GPR400 – PCMCIA port

• Gemplus, GemPC430 – USB port

• Hewlett-Packard, ProtectTools, – serial port

• Litronic, 220P, – serial port

• Schlumberger, Reflex 20 – PCMCIA port

• Schlumberger, Reflex 72 – serial port

• Schlumberger, Reflex Lite – serial port

• SCM Microsystems, SCR111 – serial port

• SCM Microsystems, SCR120 – PCMCIA port

• SCM Microsystems, SCR200 – serial port

• SCM Microsystems, SCR300 – USB port

• Systemneeds, External – serial port

• Omnikey AG, 2010 – serial port

• Omnikey AG, 2020 – USB port

• Omnikey AG, 4000 – PCMCIA port

Some smart card de stuurprogramma ‘ s van de lezer zijn voorgeïnstalleerd in Windows Server 2003, terwijl anderen dat niet zijn. U kunt een chipkaartlezer op de computer installeren door de chipkaartlezer aan een seriële poort of USB-poort te bevestigen. Voor laptops plaatst u de smartkaartlezer in een PCMCIA-slot.

nadat de chipkaartlezer is geïnstalleerd, moet het Inschrijvingsstation worden gebruikt voor de volgende taken:

• installeer smartcard-aanmelding of gebruikerscertificaten voor de smartcards van uw gebruikers.

• Stel de initiële PIN in voor de gebruiker.

wanneer de chipkaartlezers zijn geïnstalleerd, is de volgende stap het uitgeven van chipkaartcertificaten aan gebruikers. Dit proces staat bekend als inschrijving. Voordat u een gebruiker inschrijft en de gebruiker een smartcard geeft, moet u gebruikers informeren over deze punten:

• gebruikers moeten zich onthouden van het buigen van de smartcard, omdat ze de interne mechanismen van de smartcard kunnen beschadigen.

• gebruikers moeten de externe chipkaart-chip beschermen tegen krassen of deuken. Het kan zijn dat de chipkaartlezer de op de kaart opgeslagen informatie niet kan lezen als deze op deze manier beschadigd is.

• gebruikers moeten hun smartcards op een koele, droge plaats bewaren en veilig zijn voor andere magnetische bronnen zoals creditcards. Te hoge temperaturen kunnen ertoe leiden dat de smartcard broos en breekbaar wordt.

een smartcard-gebruiker inschrijven,

1. toegang krijgen tot het werkstation met een gebruikersaccount dat de benodigde rechten heeft in de Inschrijvingsagentcertificaatsjabloon voor het domein dat het gebruikersaccount bevat.

2. Open Internet Explorer en krijg toegang tot de CA door http://CA servernaam/certsrv in te voeren.

3. klik op de welkomstpagina op Certificaat aanvragen

4. klik op de pagina Certificaat aanvragen op Geavanceerde certificaataanvraag.

5. kies op de pagina Geavanceerde certificaataanvraag de optie certificaat aanvragen voor een smartcard namens een andere gebruiker.

6. kies op de pagina Smartcard Certificate Enrollment Station voor het maken van een van de volgende opties::

   • aanmeldingscertificaat voor smartcard

   • chipkaart gebruikerscertificaat

7. kies in de keuzelijst certificaatautoriteit de naam van de CA voor het domein dat smartkaartcertificaten moet afgeven.

8. voer in de keuzelijst cryptografische serviceprovider de naam in van de leverancier die u gebruikt voor smartcards.

9. voer in het vak certificaat ondertekening Administrator de naam in van het certificaat inschrijvingsagent waarmee de certificaatinschrijvingsaanvraag wordt ondertekend. Klik Op Volgende.

10. klik op de pagina Gebruiker die zich moet inschrijven op Gebruiker selecteren om het gebruikersaccount te zoeken waarvoor u een smartcardcertificaat wilt maken en klik op Inschrijven.

11. plaats de smartcard van de gebruiker in de smartkaartlezer en klik op OK.

12. ga verder met het invoeren van de initiële pincode voor de smartcard.

13. klik op Certificaat weergeven om te controleren of het certificaat is verleend aan de gebruiker die u hebt opgegeven.

een Windows 2000-of Windows Server 2003-RAS-server ondersteunt smartcard-aanmelding. Als u smartcard-aanmelding voor deze servers wilt inschakelen, moet u de RRAS-service configureren om het EAP (Extensible Authentication Protocol) te gebruiken. Dan, je moet opgeven smartcard aanmelden als de EAP-methode.

een RAS-server voor Windows 2000 of Windows Server 2003 configureren voor aanmelding met smartcards,

1. Open de RRAS-console vanuit administratieve Toos.

2. ga verder met het openen van het dialoogvenster Eigenschappen van de RAS-server die smartcard-aanmelding moet accepteren.

3. klik op het tabblad Beveiliging.

4. klik op Windows-verificatie en klik op verificatiemethoden.

5. kies de optie EAP (Extensible Authentication Protocol).

6. klik op EAP-methoden.

7. gebruik de beschikbare lijst om smartcard of ander certificaat te zoeken en te dubbelklikken. Klik op OK.

8. ga verder met het deselecteren van de andere verificatieopties. Klik op OK.

9. klik in het dialoogvenster Eigenschappen van de server op OK.

10. zoek in de RRAS-console beleid voor RAS in de consolestructuur.

11. Dubbelklik op Toegang toestaan als Inbelmachtiging Is ingeschakeld.

12. wanneer het dialoogvenster Eigenschappen wordt geopend, klikt u op Profiel Bewerken.

13. klik op het tabblad Verificatie.

14. klik op EAP-methoden.

15. wanneer het dialoogvenster EAP-Providers selecteren wordt geopend, klikt u op Toevoegen.

16. kies in het dialoogvenster EAP toevoegen de optie smartcard of ander certificaat.

17. klik op OK.

18. Klik in het dialoogvenster EAP-Providers selecteren op Bewerken.

19. wanneer het dialoogvenster Eigenschappen van smartcard of ander certificaat wordt geopend, kiest u in het vak certificaat verleend aan het computercertificaat dat aan de betreffende server is verleend.

20. klikken OKen sluit alle geopende dialoogvensters.

u kunt bepaalde beleidsinstellingen inschakelen in Groepsbeleid die u kunnen helpen bij het vereenvoudigen van het beheer van smartcards in uw omgeving:

• drempelwaarde voor accountvergrendeling: u kunt de instellingen van dit beleid gebruiken om het verificatieproces van uw Smartcard te beschermen tegen wachtwoordaanvallen.

• omleiding van smartcardapparaten niet toestaan: als dit is ingeschakeld, kunnen gebruikers geen smartcards gebruiken om zich aan te melden bij een Terminal Services-server.

• bij het verwijderen van smartcards: u kunt deze instelling gebruiken om te voorkomen dat gebruikers actieve sessies zonder toezicht uitvoeren. Met deze instellingen kunt u opgeven dat de sessies van de gebruikers zijn vergrendeld of zijn aangemeld wanneer ze hun smartcards uit de smartkaartlezer verwijderen.

• Smartcard vereist voor interactieve aanmelding: indien ingeschakeld kan een gebruiker zich alleen aanmelden bij de lokale computer met smartcardverificatie. De gebruiker kan geen gebruikersaccount gebruiken en de gebruikersnaam en wachtwoordreferenties opgeven om zich aan te melden.