- przegląd uwierzytelniania i Kart Inteligentnych
- uwagi dotyczące wdrażania Kart Inteligentnych
- przygotowanie PKI do implementacji Karty Inteligentnej
- implementacja Kart Inteligentnych
- jak ustawić uprawnienia do szablonów certyfikatów
- jak utworzyć certyfikat agenta rejestracji
- jak utworzyć stację rejestracji certyfikatów kart inteligentnych
przegląd uwierzytelniania i Kart Inteligentnych
administratorzy muszą zabezpieczyć sieć przed atakami hakerów, szpiegów, terrorystów, złodziei i przestępców. Bezpieczeństwo obejmuje wiele technologii, protokołów, standardów, zasad, haseł i kluczy tajnych. Wszystkie te mechanizmy zazwyczaj skupiają się na następujących:
-
uwierzytelnianie
-
Kontrola dostępu
-
Ochrona danych
-
audyt / odpowiedzialność
uwierzytelnianie to proces, za pomocą którego jednostka identyfikuje się przed dozwolonym logowaniem do sieci. Po uwierzytelnieniu użytkownika Kontrola dostępu określa, do jakich zasobów można uzyskać dostęp, jakie działania można wykonać na zasobie oraz czy działania te są kontrolowane, czy nie. Kontrola dostępu jest realizowana poprzez określenie uprawnień do zasobów i obiektów oraz przypisanie uprawnień użytkownikom. Ochrona danych obejmuje dwie koncepcje bezpieczeństwa, a mianowicie poufność danych i integralność danych. Poufność danych zajmuje się zabezpieczaniem danych, ponieważ są one przesyłane przez sieć poprzez zastosowanie operacji kryptograficznych. Algorytmy szyfrowania i wykorzystanie kluczy prywatnych i publicznych zapewniają poufność danych. Osoby nieupoważnione, które przechwycą wiadomość, nie będą w stanie zinterpretować jej treści. Integralność danych jest realizowana poprzez cyfrowe podpisywanie wiadomości i plików. Za pomocą podpisów cyfrowych można określić, czy wiadomość została naruszona, czy nie. Z tej krótkiej dyskusji widać, że wiele pojęć i zasad jest uwzględnionych podczas omawiania bezpieczeństwa. Więc gdzie karty inteligentne pasują do procesu zabezpieczania sieci i zasobów organizacji przed złośliwymi atakami. Odpowiedzią jest uwierzytelnienie.
jak wspomniano wcześniej, uwierzytelnianie to proces, w którym użytkownicy lub inne podmioty identyfikują się, aby móc próbować uzyskać dostęp do zasobów sieciowych. Uwierzytelnianie jest pierwszym krokiem w procesie zezwalania użytkownikom na dostęp do zasobów sieciowych. W usłudze Active Directory uwierzytelnianie użytkownika odbywa się przez użytkownika podającego dane uwierzytelniające konta użytkownika, takie jak nazwa logowania użytkownika, hasło i identyfikator bezpieczeństwa użytkownika (Sid).
uwierzytelnianie w środowiskach Windows Server 2003 obejmuje następujące dwa procesy:
-
Logowanie interaktywne: Logowanie interaktywne następuje, gdy użytkownik loguje się do systemu za pomocą hasła lub karty inteligentnej.
-
uwierzytelnianie sieciowe: uwierzytelnianie sieciowe ma miejsce, gdy użytkownik ma dostęp do zasobów, bez konieczności ponownego wprowadzania tego hasła lub osobistego numeru identyfikacyjnego (PIN) karty inteligentnej.
użytkownik lub podmiot udowadnia swoją tożsamość, korzystając ze wspólnej tajemnicy. Udostępniony sekret może być jednym z komponentów wymienionych poniżej i musi być tajemnicą między użytkownikiem żądającym uwierzytelnienia a authenticatorem, aby uwierzytelnienie zakończyło się powodzeniem:
-
hasło
-
klucz szyfrujący
-
tajny PIN
protokoły uwierzytelniania służą do udostępniania tajemnicy między Użytkownikiem a authenticatorem. Authenticator pozwala na dostęp lub odmawia dostępu żądającemu. Poniżej wymieniono protokoły uwierzytelniania, które mogą być używane w środowiskach Windows Server 2003:
-
Kerberos w wersji 5, używany do uwierzytelniania sieciowego. Kerberos w wersji 5 jest używany do interaktywnego procesu uwierzytelniania logowania oraz do uwierzytelniania sieciowego w systemie Windows Server 2003.
-
Secure Socket Layer / Transport Layer Security (SSL/TLS), używany do uwierzytelniania sieciowego i jest oparty na certyfikatach klucza publicznego X. 509.
-
Microsoft Windows NT Lan Manager (NTLM), używany do uwierzytelniania sieciowego, ale głównie dla kompatybilności z Microsoft Windows NT 4.
-
Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2), używany do uwierzytelniania sieciowego i uwierzytelniania dial-up.
-
Password Authentication Protocol (PAP), używany do uwierzytelniania sieciowego i uwierzytelniania dial-up.
-
Extensible Authentication Protocol-Transport Level Security (EAP-TLS), używany do uwierzytelniania połączeń bezprzewodowych.
-
Extensible Authentication Protocol (EAP), używany do uwierzytelniania sieciowego i uwierzytelniania dial-up, i obejmuje obsługę kart inteligentnych (uwierzytelnianie sprzętowe).
uwierzytelnianie sprzętowe występuje, gdy klucze szyfrowania są przechowywane na karcie inteligentnej, karcie PC lub innym mechanizmie tokena kryptograficznego, a użytkownik musi mieć kartę inteligentną i kod PIN lub hasło, aby przejść uwierzytelnianie i uzyskać dostęp do systemu. Zapewnia to dodatkowy poziom bezpieczeństwa, ponieważ każda nieupoważniona osoba próbująca uzyskać dostęp do systemu potrzebuje karty inteligentnej i kodu PIN lub hasła.
uwierzytelnianie Kart Inteligentnych opiera się na użyciu kart inteligentnych i jest obsługiwane w systemach Windows 2000 i Windows Server 2003. Karta inteligentna to urządzenie zabezpieczające lub token sprzętowy o wielkości karty kredytowej, który może być użyty do zapewnienia dodatkowej ochrony aplikacji i protokołów bezpieczeństwa.
karty inteligentne zapewniają następujące funkcje:
-
bezpieczna metoda uwierzytelniania użytkownika
-
Interactive logon
-
logowanie zdalnego dostępu
-
Logowanie administratora
-
bezpieczne podpisywanie kodu
-
Bezpieczny e-mail
w środowiskach sieciowych są one zazwyczaj używane do następujących celów
-
Logowanie do komputera
-
szyfrowanie poczty elektronicznej
-
Szyfrowanie plików dyskowych za pomocą EFS
jak wspomniano wcześniej, karta inteligentna uwierzytelnianie zapewnia bardzo silne uwierzytelnianie, ponieważ użytkownik musi posiadać kartę inteligentną, a użytkownik musi znać osobisty numer identyfikacyjny (PIN). Możesz zablokować kartę inteligentną z systemu po kolejnych nieudanych próbach logowania. Aby włączyć te funkcje, uwierzytelnianie kart inteligentnych polega na użyciu czytnika kart inteligentnych podłączonego do komputera. Zaleca się używanie czytników Plug and Play (PnP) z systemem Windows Server 2003. Karta inteligentna zawiera mikroprocesor i stałą pamięć flash, która przechowuje informacje o logowaniu użytkownika, klucz prywatny, certyfikaty cyfrowe i inne prywatne informacje. Gdy użytkownik wkłada kartę inteligentną do czytnika kart inteligentnych, użytkownik musi podać kod PIN, aby zalogować się do systemu. Karty inteligentne są zaprojektowane w celu zapewnienia uwierzytelniania odpornego na manipulacje. Różnica między kartami inteligentnymi a kluczami prywatnymi oprogramowania polega na tym, że można przenosić karty inteligentne z jednego komputera na komputer.
czytnik kart inteligentnych jest zwykle podłączony do portu szeregowego, portu USB lub portu PCMCIA komputera. Ponieważ komputery PC, laptopy i PDA mają jeden z tych portów, Czytniki kart inteligentnych są obsługiwane przez wszystkie komputery. Karty inteligentne są dostępne w wielu formach. Większość jednak ma podobieństwo do kart kredytowych. Bardziej zaawansowane karty inteligentne wykorzystują magnetykę. Oznacza to, że nie muszą mieć kontaktów zewnętrznych. Powszechną formą jest klucz sprzętowy, który może zmieścić się w porcie USB. Stąd dostęp do niego ma dostawca usług Kryptograficznych (CSP). Formularz klucza sprzętowego nie wymaga specjalnego czytnika. Upadek formularza polega na tym, że jest on około cztery razy droższy niż konwencjonalne formy kart inteligentnych. Podczas gdy instalacja wdrożenia karty inteligentnej może być złożona i kosztowna, innym trudnym procesem jest określenie, którego dostawcy użyć. Sterowniki produktów Kart Inteligentnych Gemplus i Schlumberger są faktycznie wbudowane w system operacyjny.
uwagi dotyczące wdrażania Kart Inteligentnych
uwierzytelnianie za pomocą kart inteligentnych jest obsługiwane w systemach Windows 2000 i Windows Server 2003, ale zależy od infrastruktury klucza publicznego (PKI). PKI musi istnieć, zanim będzie można zaimplementować uwierzytelnianie kart inteligentnych. Do uwierzytelniania w oparciu o karty inteligentne zaleca się korzystanie z urzędu certyfikacji przedsiębiorstwa. Samodzielne jednostki CAs i zewnętrzne jednostki CA nie są zalecane do stosowania z uwierzytelnianiem kart inteligentnych.
Chociaż istnieje sporo dostawców do wyboru, aby zapewnić technologię kart inteligentnych, pamiętaj, że system Windows Server 2003 nie obsługuje czytników kart inteligentnych typu Plug and Play. Zaleca się używanie tylko kart i czytników zgodnych z komputerem osobistym/kartą inteligentną (PC/SC), nawet jeśli dostawca zapewnia Czytniki kart inteligentnych bez funkcji Plug and Play, które mogą działać z systemem Windows Server 2003. Oprócz wdrożenia PKI, każdy komputer potrzebuje czytnika kart inteligentnych.
ponieważ koszt jest zawsze ważnym czynnikiem, możesz rozważyć czynniki wymienione poniżej jako te, które wpływają na koszt administrowania wdrożeniem karty inteligentnej:
-
liczba użytkowników, którzy będą korzystać z programu kart inteligentnych, a także miejsce, w którym znajdują się ci konkretni użytkownicy.
-
sposób, w jaki użytkownicy będą wydawane karty inteligentne. Należy również uwzględnić wymogi dotyczące weryfikacji tożsamości użytkowników.
-
procedura stosowana w przypadku zgubienia lub uszkodzenia przez użytkowników kart inteligentnych, które zostały im wydane.
planując rozwiązanie do uwierzytelniania kart inteligentnych, musisz zdefiniować metody uwierzytelniania i logowania, które będą wykorzystywane. Obejmowałoby to:
-
Identyfikacja strategii uwierzytelniania, które zostaną wdrożone.
-
zależności PKI.
-
wszelkie problemy z wdrożeniem karty inteligentnej.
przygotowanie PKI do implementacji Karty Inteligentnej
jak wspomniano wcześniej, karty inteligentne są zależne od implementacji PKI. Karty inteligentne wymagają certyfikatów do zarządzania, którzy użytkownicy mogą uwierzytelniać się za pomocą kart inteligentnych. Certyfikaty służą do weryfikacji tożsamości użytkowników, aplikacji, komputerów i usług; mogą być używane do zabezpieczania poczty e-mail, uwierzytelniania kodu sieciowego i aplikacji oraz do umożliwienia korzystania z kart inteligentnych. Urząd certyfikacji wystawia certyfikaty użytkownikom i innym podmiotom.
certyfikat zazwyczaj zawiera następujące informacje:
-
numer seryjny świadectwa
-
informacje identyfikujące użytkownika.
-
informacje identyfikujące urząd certyfikacji, który wydał certyfikat.
-
klucz publiczny użytkownika
-
okres ważności świadectwa
-
wyróżniona nazwa emitującego CA serwera
zdolność PKI do obsługi kart inteligentnych jest atrakcyjną cechą implementacji PKI systemu Windows. Aby wdrożyć karty inteligentne, jednym z pierwszych kroków jest zainstalowanie usług certyfikatów na serwerze w swoim środowisku i skonfigurowanie serwera jako urzędu certyfikacji przedsiębiorstwa. Następnie należy utworzyć trzy szablony certyfikatów, aby umożliwić korzystanie z kart inteligentnych w organizacji. Szablony certyfikatów można zdefiniować jako zbiór reguł i ustawień określających zawartość i format wydawanych certyfikatów w oparciu o ich przeznaczenie. Konfigurujesz Szablony certyfikatów w systemie certyfikacji w ramach swojej implementacji PKI. Szablon certyfikatu jest stosowany, gdy użytkownik żąda certyfikatu od urzędu certyfikacji. Tylko Windows Server 2003 enterprise CAs wykorzystuje szablony certyfikatów przechowywane w Active Directory do tworzenia certyfikatów dla użytkowników i komputerów.
aby zaimplementować kartę inteligentną, musisz utworzyć następujące trzy szablony certyfikatów:
-
certyfikat agenta rejestracji: ten szablon certyfikatu umożliwia komputerowi z systemem Windows Server 2003 pełnić funkcję stacji rejestracji. Stacja rejestracji tworzy i wydaje certyfikaty użytkownikom kart inteligentnych.
-
certyfikat logowania karty inteligentnej: ten szablon certyfikatu umożliwia uwierzytelnianie za pomocą kart inteligentnych.
-
Certyfikaty Użytkownika Karty Inteligentnej: Ten szablon certyfikatu umożliwia użytkownikom zabezpieczenie wiadomości e-mail po uwierzytelnieniu.
implementacja Kart Inteligentnych
poniżej wymieniono typowe kroki implementacji rozwiązania kart inteligentnych w organizacji. Rzeczywiste kroki są określone przez sposób, w jaki karty inteligentne są używane w PKI:
-
Konfiguracja stacji rejestracji
-
Zdefiniuj niezbędne Szablony certyfikatów dla urzędu certyfikacji i usługi Active Directory.
-
Zdefiniuj agentów rejestracji, którzy będą wydawać karty inteligentne
-
przygotuj karty inteligentne
-
wydawanie certyfikatów na kartę inteligentną dla użytkowników
-
Skonfiguruj serwery zdalnego dostępu, aby akceptowały uwierzytelnianie kart inteligentnych
-
Zapisz serwery na certyfikaty komputerowe
ponieważ Szablony certyfikatów używane przez karty inteligentne nie są domyślnie instalowane w urzędzie certyfikacji przedsiębiorstwa, należy użyć konsoli urzędu certyfikacji, aby skonfigurować te szablony certyfikatów. Ponadto musisz przypisać użytkownikom odpowiednie uprawnienia do szablonów certyfikatów. Aby zmienić uprawnienia szablonu certyfikatu, musisz być członkiem grupy Administratorzy domeny w domenie forest root lub członkiem grupy Administratorzy Enterprise.
jak ustawić uprawnienia do szablonów certyfikatów
-
kliknij Start, Uruchom i wprowadź certtmpl.msc w oknie dialogowym Uruchom. Kliknij OK.
-
znajdź i kliknij prawym przyciskiem myszy certyfikat, którego uprawnienia chcesz zmodyfikować, a następnie kliknij Właściwości w menu skrótów.
-
kliknij kartę Zabezpieczenia.
-
przypisuj użytkownikom i grupom, którzy muszą zażądać certyfikatów opartych na konkretnym szablonie certyfikatu, uprawnień do odczytu i rejestracji.
-
kliknij OK.
serwer certyfikatów zawarty w systemie Windows Server 2003 zawiera stację rejestracji kart inteligentnych, która może być używana do dystrybucji certyfikatów wśród użytkowników. Za pomocą stacji rejestracji kart inteligentnych można zażądać certyfikatu karty inteligentnej w imieniu użytkownika. To z kolei umożliwia preinstalowanie go na karcie inteligentnej użytkownika. Zanim użytkownicy będą mogli zażądać certyfikatów, należy przygotować stację rejestracji, aby utworzyć certyfikaty. Pierwszym krokiem w przygotowaniu urzędu certyfikacji do wydawania certyfikatów kart inteligentnych jest utworzenie certyfikatu agenta rejestracji.
jak utworzyć certyfikat agenta rejestracji
-
kliknij Start, Narzędzia administracyjne, a następnie kliknij urząd certyfikacji.
-
w drzewie konsoli rozwiń polecenie urząd certyfikacji, <Nazwa serwera> i szablony certyfikatów.
-
kliknij przycisk Nowy, a następnie certyfikat do wydania z menu Akcja.
-
Wybierz szablon agenta rejestracji. Kliknij OK.
-
w menu operacja kliknij przycisk Nowy, a następnie certyfikat do wystawienia z menu operacja
-
jeśli chcesz utworzyć certyfikaty uwierzytelniania użytkownika, wybierz szablon certyfikatu logowania karty inteligentnej. Kliknij OK.
-
jeśli chcesz utworzyć certyfikaty uwierzytelniania użytkownika i szyfrowania informacji użytkownika, wybierz szablon certyfikatu użytkownika karty inteligentnej. Kliknij OK.
-
-
Szablony certyfikatów powinny być teraz wyświetlane w oknie konsoli
-
zamknij konsolę urzędu certyfikacji.
jak utworzyć stację rejestracji certyfikatów kart inteligentnych
-
Zaloguj się do maszyny
-
kliknij Start, Uruchom i wprowadź mmc W oknie dialogowym Uruchom. Kliknij OK
-
w menu Plik kliknij przycisk Dodaj / Usuń przystawkę, a następnie kliknij przycisk Dodaj.
-
Kliknij dwukrotnie przystawkę Certyfikaty. Kliknij OK.
-
Kliknij Przycisk Zamknij.
-
w przystawce Certyfikaty rozwiń pozycję Certyfikaty, bieżący użytkownik, a następnie osobisty.
-
Wybierz wszystkie zadania, a następnie poproś o nowy certyfikat z menu Akcja.
-
po uruchomieniu Kreatora żądania certyfikatu kliknij przycisk Dalej.
-
po otwarciu strony typy certyfikatów kliknij Agent rejestracji, a następnie kliknij przycisk Dalej.
-
na stronie nazwa i opis Przyjazny dla certyfikatu wprowadź opis certyfikatu. Kliknij Dalej.
-
po otwarciu strony podsumowania kliknij przycisk Zakończ.
Konfiguracja użytkowników do korzystania z kart inteligentnych obejmuje zakup i instalację czytników kart inteligentnych dla wszystkich stacji roboczych użytkownika. Instalacja czytników kart inteligentnych zgodnych z Plug and Play jest zwykle nieskomplikowaną instalacją sprzętową.
poniżej wymieniono Czytniki kart inteligentnych obsługiwane przez systemy Windows XP i Windows Server 2003.
-
American Express, GCR435 – USB port
-
Bull, SmarTLP3 – serial port
-
Compaq, Serial reader – serial port
-
Gemplus, GCR410P – serial port
-
Gemplus, GPR400 – PCMCIA port
-
Gemplus, GemPC430 – USB port
-
Hewlett-Packard, ProtectTools, – serial port
-
Litronic, 220P, – serial port
-
Schlumberger, Reflex 20 – PCMCIA port
-
Schlumberger, Reflex 72 – serial port
-
Schlumberger, Reflex Lite – serial port
-
SCM Microsystems, SCR111 – serial port
-
SCM Microsystems, SCR120 – PCMCIA port
-
SCM Microsystems, SCR200 – serial port
-
SCM Microsystems, SCR300 – USB port
-
Systemneeds, External – serial port
-
Omnikey AG, 2010 – serial port
-
Omnikey AG, 2020 – USB port
-
Omnikey AG, 4000 – PCMCIA port
Some smart card sterowniki reader są preinstalowane w systemie Windows Server 2003, podczas gdy inne nie. Czytnik kart inteligentnych można zainstalować na komputerze, podłączając go do portu szeregowego lub portu USB. W przypadku laptopów włóż Czytnik Kart Inteligentnych do gniazda PCMCIA.
po zainstalowaniu czytnika kart inteligentnych Stacja rejestracji musi być używana do następujących zadań:
-
zainstaluj Smart Card logon lub certyfikaty użytkownika dla kart inteligentnych użytkowników.
-
Ustaw początkowy PIN dla użytkownika.
po zainstalowaniu czytników kart inteligentnych następnym krokiem jest wydanie użytkownikom certyfikatów kart inteligentnych. Proces ten jest znany jako Rejestracja. Przed zarejestrowaniem użytkownika i wydaniem użytkownikowi karty inteligentnej należy edukować użytkowników w zakresie tych punktów:
-
użytkownicy powinni powstrzymać się od zginania karty inteligentnej, ponieważ mogą uszkodzić wewnętrzne mechanizmy karty inteligentnej.
-
użytkownicy powinni chronić zewnętrzny chip karty inteligentnej przed porysowaniem lub wgnieceniem. Czytnik kart inteligentnych może nie być w stanie odczytać informacji przechowywanych na karcie, jeśli jest uszkodzony w ten sposób.
-
użytkownicy powinni przechowywać swoje karty inteligentne w chłodnym, suchym miejscu i bezpiecznym od innych źródeł magnetycznych, takich jak karty kredytowe. Nadmierne temperatury mogą spowodować, że karta inteligentna stanie się krucha i łamliwa.
aby zapisać użytkownika karty inteligentnej,
-
Uzyskaj dostęp do stacji roboczej za pomocą konta użytkownika, które posiada niezbędne prawa w szablonie certyfikatu agenta rejestracji dla domeny zawierającej konto użytkownika.
-
Otwórz program Internet Explorer i uzyskaj dostęp do urzędu certyfikacji, wpisując http://CA nazwa serwera/certsrv.
-
na stronie powitalnej kliknij poproś o certyfikat
-
na stronie żądanie certyfikatu kliknij Zaawansowane żądanie certyfikatu.
-
na stronie żądanie certyfikatu Zaawansowanego wybierz opcję poproś o certyfikat dla Karty Inteligentnej w imieniu innego użytkownika.
-
na stronie Smart Card Certificate Enrollment Station wybierz jedną z następujących opcji:
-
certyfikat logowania karty inteligentnej
-
certyfikat użytkownika karty inteligentnej
-
-
na liście urząd certyfikacji wybierz nazwę urzędu certyfikacji dla domeny, która powinna wystawiać certyfikaty kart inteligentnych.
-
w polu Lista dostawców usług Kryptograficznych wprowadź nazwę dostawcy, którego używasz w przypadku kart inteligentnych.
-
w polu certyfikat podpisywania przez Administratora wprowadź nazwę certyfikatu agenta rejestracji, który podpisze wniosek o rejestrację certyfikatu. Kliknij Dalej.
-
na stronie użytkownik, aby się zarejestrować, kliknij Wybierz użytkownika, aby znaleźć konto użytkownika, dla którego chcesz utworzyć certyfikat karty inteligentnej, i kliknij Zapisz.
-
umieść kartę inteligentną użytkownika w czytniku kart inteligentnych i kliknij OK.
-
przejdź do wprowadzenia początkowego kodu PIN karty inteligentnej.
-
kliknij Wyświetl certyfikat, aby sprawdzić, czy certyfikat został wydany określonemu użytkownikowi.
Serwer zdalnego dostępu dla systemu Windows 2000 lub Windows Server 2003 obsługuje logowanie za pomocą karty inteligentnej. Aby włączyć logowanie kartami inteligentnymi dla tych serwerów, należy skonfigurować usługę RRAS tak, aby używała protokołu Extensible Authentication Protocol (EAP). Następnie musisz określić logowanie karty inteligentnej jako metodę EAP.
aby skonfigurować serwer zdalnego dostępu Windows 2000 lub Windows Server 2003 do logowania na kartę inteligentną,
-
Otwórz konsolę RRAS z poziomu panelu administracyjnego.
-
przejdź do okna dialogowego Właściwości serwera dostępu zdalnego, który powinien akceptować logowanie kartą inteligentną.
-
kliknij kartę Zabezpieczenia.
-
kliknij uwierzytelnianie systemu Windows i kliknij metody uwierzytelniania.
-
wybierz opcję Extensible Authentication Protocol (EAP).
-
kliknij metody EAP.
-
użyj dostępnej listy, aby znaleźć i dwukrotnie kliknąć kartę inteligentną lub inny certyfikat. Kliknij OK.
-
przejdź do usunięcia zaznaczenia innych opcji uwierzytelniania. Kliknij OK.
-
w oknie dialogowym Właściwości serwera kliknij OK.
-
w konsoli RRAS znajdź zasady dostępu zdalnego w drzewie konsoli.
-
Kliknij dwukrotnie Zezwól na dostęp, jeśli uprawnienie Dial-In jest włączone.
-
po otwarciu okna dialogowego Właściwości kliknij Edytuj Profil.
-
kliknij kartę uwierzytelnianie.
-
kliknij metody EAP.
-
po otwarciu okna dialogowego Wybierz dostawców EAP kliknij przycisk Dodaj.
-
w oknie dialogowym Dodaj EAP wybierz opcję Karta inteligentna lub inny certyfikat.
-
kliknij OK.
-
w oknie dialogowym Wybierz dostawców EAP kliknij Edytuj.
-
po otwarciu okna dialogowego Właściwości karty inteligentnej lub innego certyfikatu w polu certyfikat wystawiony na polecenie Wybierz certyfikat komputera wystawiony na dany serwer.
-
kliknij OK i zamknij wszystkie otwarte okna dialogowe.
możesz włączyć pewne ustawienia zasad w zasadach grupy, które mogą pomóc w uproszczeniu zarządzania kartami inteligentnymi w Twoim środowisku:
-
próg Blokady konta: możesz użyć ustawień tej zasady, aby chronić proces uwierzytelniania karty inteligentnej przed atakami hasłem.
-
nie zezwalaj na przekierowanie urządzenia na kartę inteligentną: po włączeniu użytkownicy nie będą mogli używać kart inteligentnych do logowania się do serwera usług terminalowych.
-
przy usuwaniu karty inteligentnej: możesz użyć tego ustawienia, aby uniemożliwić użytkownikom uruchamianie aktywnych sesji bez nadzoru. Za pomocą tych ustawień można określić, że sesje użytkowników są zablokowane lub wylogowane po wyjęciu kart inteligentnych z czytnika kart inteligentnych.
-
karta inteligentna wymagana do logowania interaktywnego: po włączeniu użytkownik może logować się tylko do komputera lokalnego przy użyciu uwierzytelniania karty inteligentnej. Użytkownik nie może korzystać z konta użytkownika i podać nazwy użytkownika i hasła do logowania.