Compreender e Implementar Autenticação de Cartão Inteligente

Uma Visão geral de Autenticação e Cartões Inteligentes

os Administradores têm para proteger a rede contra ataques lançado por hackers, espiões, terroristas, ladrões e criminosos. A segurança engloba inúmeras tecnologias, protocolos, padrões, Políticas, senhas e chaves secretas. Todos esses mecanismos normalmente se concentram no seguinte:

• Autenticação

• Controle de Acesso

• Protecção de Dados

• Auditoria/prestação de contas

a Autenticação é o processo pelo qual uma entidade identifica-se, antes do início de sessão de rede é permitido. Depois que um usuário é autenticado, o controle de acesso define quais recursos podem ser acessados, quais ações podem ser executadas no recurso e se essas ações são auditadas ou não. O controle de acesso é implementado especificando permissões para recursos e objetos e atribuindo direitos aos usuários. A proteção de dados envolve dois conceitos de segurança, a saber, confidencialidade de dados e integridade de dados. A confidencialidade dos dados trata da proteção de dados à medida que são transmitidos pela rede através da aplicação de operações criptográficas. Algoritmos de criptografia e a utilização de chaves privadas e públicas fornecem confidencialidade de dados. Quaisquer partes não autorizadas que interceptem a mensagem não poderão interpretar o conteúdo da mensagem. A integridade dos dados é implementada através da assinatura digital de mensagens e arquivos. Através do uso de assinaturas digitais, você pode determinar se a mensagem foi adulterada ou não. A partir desta breve discussão, você pode ver que muitos conceitos e princípios são incluídos ao discutir segurança. Então, onde os cartões inteligentes se encaixam no processo de proteger a rede e os recursos de uma organização contra ataques maliciosos. A resposta é autenticação.

como mencionado anteriormente, a autenticação é um processo pelo qual os usuários ou outras entidades se identificam para que possam tentar acessar os recursos da rede. A autenticação é a etapa inicial no processo de permitir que os Usuários acessem recursos de rede. No Active Directory, a autenticação do Usuário ocorre pelo usuário que fornece credenciais de conta de usuário, como o nome de logon do usuário, a senha e o identificador de segurança do Usuário (SID).

Autenticação em ambientes Windows Server 2003 envolve os dois processos a seguir:

• logon interativo: o logon interativo ocorre quando um usuário faz logon no sistema usando uma senha ou cartão inteligente.

• autenticação de rede: a autenticação de rede ocorre quando um usuário tem permissão para acessar recursos, sem que o usuário precise digitar novamente essa senha ou o número de identificação pessoal (PIN) do cartão inteligente.

o usuário ou entidade prova sua identidade usando um segredo compartilhado. O segredo compartilhado pode ser um dos componentes listados abaixo, e tem que ser um segredo entre a autenticação do usuário solicitante, e o autenticador, para que a autenticação seja bem-sucedida:

• Uma senha

• Uma chave de criptografia

• Um segredo PIN

Protocolos de autenticação são usados para compartilhar o segredo entre o usuário e o autenticador. O autenticador então permite o acesso ou nega o acesso do solicitante. Os protocolos de autenticação que podem ser usados em ambientes Windows Server 2003 estão listados abaixo:

• Kerberos versão 5, usado para autenticação de rede. O Kerberos versão 5 é usado para o processo de autenticação de logon interativo e para autenticação de rede no Windows Server 2003.

• Secure Socket Layer / Transport Layer Security (SSL/TLS), usado para autenticação de rede e é baseado em certificados de chave pública X. 509.

• Microsoft Windows NT LAN Manager (NTLM), usado para autenticação de rede, mas principalmente para compatibilidade com o Microsoft Windows NT 4.

• Microsoft Challenge Handshake Authentication Protocol versão 2 (MS-CHAP v2), usado para autenticação de rede e autenticação dial-up.

• Password Authentication Protocol (PAP), usado para autenticação de rede e autenticação dial-up.

• Protocolo de autenticação extensível-Transport Level Security (EAP-TLS), usado para autenticação de conexão sem fio.

• Extensible Authentication Protocol (EAP), usado para autenticação de rede e autenticação dial-up, e inclui suporte para cartões inteligentes (autenticação habilitada para hardware).

Hardware habilitado a autenticação ocorre quando as chaves de criptografia são armazenadas em um cartão inteligente, de uma placa PC, ou algum outro token criptográfico mecanismo, e o usuário precisa ter o cartão inteligente, e o PIN ou a palavra-passe para autenticação de passar e acessar o sistema. Isso fornece um nível adicional de segurança porque qualquer pessoa não autorizada que tente acessar o sistema precisa do cartão inteligente e do PIN ou senha.

a autenticação de cartão inteligente é baseada no uso de cartões inteligentes e é suportada no Windows 2000 e no Windows Server 2003. Um cartão inteligente é um dispositivo de segurança ou token de hardware do tamanho de um cartão de crédito que pode ser usado para fornecer proteção adicional a aplicativos e protocolos de segurança.

os cartões inteligentes fornecem os seguintes recursos:

• método mais Seguro de autenticação de usuário

• início de sessão Interactivo

• acesso Remoto inícios de sessão

• Administrador de inícios de sessão

• Seguro de assinatura de código

• e-mail Seguro

Em ambientes de rede, eles normalmente são usados para os seguintes fins

• fazendo logon em um computador

• Criptografia de e-mail

• a Criptografia de arquivos do disco através do EFS

Como mencionado anteriormente, o cartão inteligente a autenticação fornece autenticação muito forte porque o usuário precisa possuir o cartão inteligente e o usuário precisa saber o número de identificação pessoal (PIN). Você pode bloquear um cartão inteligente do sistema após um número sucessivo de tentativas de logon malsucedidas. Para habilitar esses recursos, a autenticação de cartão inteligente envolve o uso de um leitor de cartão inteligente conectado ao computador. Recomenda-se usar leitores Plug and Play (PnP) com o Windows Server 2003. O cartão inteligente contém um microprocessador e memória flash permanente que contém as informações de logon do Usuário, chave privada, certificados digitais e outras informações privadas. Quando o usuário insere o cartão inteligente no leitor de cartão inteligente, o Usuário deve fornecer o PIN para fazer logon no sistema. Os cartões inteligentes são projetados para fornecer autenticação inviolável. A diferença entre cartões inteligentes e chaves privadas de software é que você pode mover cartões inteligentes de um computador para o computador.

o leitor de cartão inteligente geralmente é conectado à porta serial, porta USB ou porta PCMCIA do computador. Como PCs, laptops e PDAs têm uma dessas portas, os leitores de cartão inteligente são suportados por todos os computadores. Os cartões inteligentes estão disponíveis em vários formulários. A maioria, porém, tem uma semelhança com os cartões de crédito. Os cartões inteligentes mais avançados utilizam magnetics. O que isso significa é que eles não precisam ter contatos externos. Uma forma comum é o dongle que pode caber em uma porta USB. A partir daqui, é acessado pelo Provedor de serviços criptográficos (CSP). O formulário dongle não precisa de nenhum leitor especial. A queda do formulário é que é cerca de quatro vezes mais caro do que os formulários convencionais de cartão inteligente. Embora a instalação de uma implementação de cartão inteligente possa ser complexa e cara, outro processo difícil é determinar qual fornecedor usar. Os drivers de produtos de cartão inteligente da Gemplus e Schlumberger são realmente integrados ao sistema operacional.

considerações de implantação de Cartão Inteligente

a autenticação por meio de cartões inteligentes é suportada no Windows 2000 e no Windows Server 2003, mas depende da infraestrutura De Chave Pública (PKI). O PKI tem que existir antes que você possa implementar a autenticação de cartão inteligente. Recomenda-se usar uma autoridade de certificação empresarial (CA) para autenticação com base em cartões inteligentes. CAs autônomo e entidades externas da CA não são recomendadas para uso com autenticação de cartão inteligente.

embora existam vários fornecedores para escolher para fornecer sua tecnologia de cartão inteligente, lembre-se de que o Windows Server 2003 não suporta Leitores de cartão inteligente Plug and Play. Recomenda-se usar apenas cartões inteligentes e leitores compatíveis com computador pessoal/Cartão Inteligente (PC/SC), mesmo quando um fornecedor fornece leitores de cartão inteligente Não Plug and Play que podem operar com o Windows Server 2003. Além da implementação de um PKI, cada computador precisa de um leitor de cartão inteligente.

Porque o custo é sempre um fator importante, você pode considerar os fatores listados abaixo como aqueles que afetam o custo da administração de um cartão inteligente implementação:

• O número de usuários que irão utilizar o smart card do programa, bem como onde estes usuários estão localizados.

• a maneira pela qual os usuários receberão cartões inteligentes. Os requisitos para verificar as identidades do usuário também devem ser incluídos.

• o procedimento a ser usado quando os usuários perdem ou danificam os cartões inteligentes que foram emitidos para eles.

ao planejar uma solução de autenticação de cartão inteligente, você deve definir os métodos de autenticação e logon que serão utilizados. Isso incluiria:

• identificar as estratégias de autenticação que serão implementadas.

• dependências PKI.

• quaisquer problemas de implantação de cartão inteligente.

preparando o PKI para uma implementação de Cartão Inteligente

como mencionado anteriormente, os cartões inteligentes dependem da implementação de um PKI. Os cartões inteligentes precisam de certificados para gerenciar quais usuários podem autenticar usando cartões inteligentes. Os certificados são usados para verificar as identidades de usuários, aplicativos, computadores e serviços; e pode ser usado para proteger o e-mail, para autenticação de código da Web e do aplicativo e para permitir o uso de cartões inteligentes. Uma autoridade de certificação (CA) emite certificados para usuários e outras entidades.

O certificado normalmente contém as seguintes informações:

• O número de série do certificado

• a Informação que identifica o utilizador.

• informações que identificam a CA que emitiu o certificado.

• A chave pública do usuário

• O período de validade do certificado

• O nome distinto do servidor da CA de emissão

A capacidade de PKI para oferecer suporte a cartões inteligentes é uma característica atraente do Windows implementação de PKI. Para implementar cartões inteligentes, uma das primeiras etapas é instalar Serviços de certificado em um servidor em seu ambiente e configurar o servidor como uma CA corporativa. Depois disso, você precisaria criar três modelos de certificado para habilitar o uso de cartões inteligentes dentro de sua organização. Os modelos de certificado podem ser definidos como um conjunto de regras e configurações que especificam o conteúdo e o formato dos certificados emitidos, com base no uso pretendido. Você configura modelos de certificado No CAs dentro de sua implementação PKI. O modelo de certificado é aplicado quando um usuário solicita um certificado da CA. Somente O Windows Server 2003 enterprise CAs utiliza modelos de certificado armazenados no Active Directory para criar certificados para usuários e computadores.

para uma implementação de cartão inteligente, você precisa criar os três modelos de certificado a seguir:

• certificado do agente de inscrição: Este modelo de certificado permite que um computador Windows Server 2003 sirva como uma estação de inscrição. A estação de inscrição cria e emite certificados para usuários de cartão inteligente.

• o certificado de Logon do cartão inteligente: Este modelo de certificado permite que os usuários autentiquem usando cartões inteligentes.

• Certificados De Usuário De Cartão Inteligente: Este modelo de certificado permite aos usuários proteger o e-mail após a autenticação.

implementando cartões inteligentes

as etapas típicas para implementar uma solução de cartão inteligente em uma organização estão listadas abaixo. As etapas reais são determinados pela forma em que os cartões inteligentes são usados na PKI:

• Configurar uma estação de inscrição

• Definem os modelos de certificados para a AC e o Active Directory.

• Definir os agentes de inscrição, que vai emitir cartões inteligentes

• Prepare os cartões inteligentes

• Problema certificatesto o cartão smart card para os usuários

• Configurar servidores de acesso remoto para aceitar a autenticação de cartão inteligente

• Inscrever os servidores para certificados de Computador

Porque os modelos de certificado usado por cartões inteligentes não são instalados em uma autoridade de CERTIFICAÇÃO corporativa por padrão, você precisará usar o console da Autoridade de Certificação para configurar estes modelos de certificado. Além disso, você precisa atribuir aos usuários as permissões corretas para os modelos de certificado. Para alterar as permissões de um modelo de certificado, você precisa ser um membro do grupo Administradores de domínio no domínio raiz da floresta ou um membro do grupo Administradores da empresa.

Como definir permissões em modelos de certificado

1. Clique em Iniciar, Executar, e digite certtmpl.msc na caixa de diálogo Executar. clicar.

2. Localize e clique com o botão direito do mouse no certificado cujas permissões você deseja modificar e clique em Propriedades no menu de atalho.

3. clique na guia Segurança.

4. atribua usuários e grupos que precisam solicitar certificados baseados no modelo de certificado específico, nas permissões de leitura e inscrição.

5. clique em OK.

o servidor de certificados incluído no Windows Server 2003 inclui uma estação de inscrição de cartão inteligente que pode ser usada para distribuir certificados aos usuários. Você pode usar o Smart Card enrollment station para solicitar um certificado de cartão inteligente em nome do Usuário. Isso, por sua vez, permite pré-instalá-lo no cartão inteligente do Usuário. Antes que os usuários possam solicitar certificados, você precisa preparar a estação de inscrição para criar os certificados. A primeira etapa na preparação da CA para emitir certificados de cartão inteligente é criar o certificado do agente de inscrição.

Como criar o certificado de Agente de Inscrição

1. Clique em Iniciar, Ferramentas Administrativas e, em seguida, clique em Autoridade de Certificação.

2. na árvore de console, expanda Autoridade de Certificação,< nome do servidor > e modelos de certificado.

3. clique em Novo e, em seguida, em certificado para emitir no menu Ação.

4. escolha o modelo do agente de inscrição. clicar.

5. No menu Ação, clique em Novo e, em seguida, Certificado a Emitir a partir do menu Acção

   • Se você deseja criar certificados para a autenticação de usuário, escolha o Logon de Cartão Inteligente de modelo de certificado. clicar.

   • se você deseja criar certificados para autenticação de usuário e para a criptografia das informações do usuário, escolha o modelo de certificado de usuário de Cartão Inteligente. clicar.

6. Os modelos de certificado deve agora ser exibida na janela do console

7. Feche o console da Autoridade de Certificação.

Como criar um certificado de cartão inteligente estação de inscrição

1. iniciar sessão para o computador

2. Clique em Iniciar, Executar e digite mmc na caixa de diálogo Executar. Clique em OK

3. no menu Arquivo, clique em Adicionar/Remover Snap-in e, em seguida, clique em Adicionar.

4. Clique duas vezes no snap-in Certificados. clicar.

5. Clique Em Fechar.

6. no snap-in Certificados, expanda certificados, usuário atual e, em seguida, pessoal.

7. Selecione Todas as tarefas e solicite um novo certificado no menu Ação.

8. quando o Assistente de solicitação de certificado for iniciado, clique em Avançar.

9. quando a página tipos de certificado for aberta, clique em agente de inscrição e, em seguida, clique em Avançar.

10. na página Nome e descrição amigável do certificado, insira uma descrição para o certificado. Clique Em Avançar.

11. quando a página de resumo for aberta, clique em Concluir.

Configurar usuários para utilizar cartões inteligentes inclui a compra e instalação de leitores de cartões inteligentes para todas as estações de trabalho do Usuário. Instalar Leitores de cartão inteligente compatíveis com Plug and Play geralmente é uma instalação de hardware descomplicada.

os leitores de Smart card suportados pelo Windows XP e Windows Server 2003 estão listados abaixo.

• American Express, GCR435 – USB port

• Bull, SmarTLP3 – serial port

• Compaq, Serial reader – serial port

• Gemplus, GCR410P – serial port

• Gemplus, GPR400 – PCMCIA port

• Gemplus, GemPC430 – USB port

• Hewlett-Packard, ProtectTools, – serial port

• Litronic, 220P, – serial port

• Schlumberger, Reflex 20 – PCMCIA port

• Schlumberger, Reflex 72 – serial port

• Schlumberger, Reflex Lite – serial port

• SCM Microsystems, SCR111 – serial port

• SCM Microsystems, SCR120 – PCMCIA port

• SCM Microsystems, SCR200 – serial port

• SCM Microsystems, SCR300 – USB port

• Systemneeds, External – serial port

• Omnikey AG, 2010 – serial port

• Omnikey AG, 2020 – USB port

• Omnikey AG, 4000 – PCMCIA port

Some smart card os drivers do reader são pré-instalados no Windows Server 2003, enquanto outros não. Você pode instalar um leitor de cartão inteligente no computador anexando o leitor de cartão inteligente a uma porta serial ou porta USB. Para laptops, insira o leitor de cartão inteligente em um slot PCMCIA.

após a instalação do leitor de cartão inteligente, a estação de inscrição deve ser usada para as seguintes tarefas:

• instale logon de cartão inteligente ou certificados de usuário para os cartões inteligentes de seus usuários.

• Defina o PIN inicial para o usuário.

quando os leitores de cartão inteligente são instalados, o próximo passo é emitir certificados de cartão inteligente para os usuários. Esse processo é conhecido como inscrição. Antes de inscrever um usuário, e emitir o usuário de cartão inteligente, você deve educar os usuários sobre esses pontos:

• os Usuários devem abster-se de dobrar o cartão inteligente, pois eles podem danificar o mecanismo interno de cartão inteligente.

• os usuários devem proteger o chip de cartão inteligente externo de ser riscado ou amassado. O leitor de cartão inteligente pode não conseguir ler as informações armazenadas no cartão se estiverem danificadas dessa maneira.

• os usuários devem armazenar seus cartões inteligentes em um local fresco e seco, e seguro de quaisquer outras fontes magnéticas, como cartões de crédito. Temperaturas quentes excessivas podem fazer com que o cartão inteligente se torne frágil e quebrável.

Para inscrever um usuário de cartão inteligente,

1. Acesso a estação de trabalho usando uma conta de usuário que tenha os direitos necessários o Certificado de Agente de Inscrição de modelo para o domínio que contém a conta de usuário.

2. abra o Internet Explorer e acesse a CA inserindo http://CA nome do servidor / certsrv.

3. Na página bem-vindo, clique em Solicitar um Certificado

4. Na página Solicitar um Certificado, clique em Solicitação Avançada de Certificado.

5. na página Solicitação de certificado avançado, escolha a opção Solicitar um certificado para um cartão inteligente em nome de outra opção de usuário.

6. na página estação de inscrição de Certificado de cartão inteligente, Escolha criar um dos seguintes:

   • início de sessão Smart card certificado

   • usuário de cartão Inteligente certificado

7. No Certificado de Autoridade de caixa de listagem, escolha o nome da autoridade de CERTIFICAÇÃO do domínio que deverá emitir certificados de cartão inteligente.

8. na caixa de Lista provedor de serviços criptográficos, insira o nome do fornecedor que você está usando para cartões inteligentes.

9. na caixa Certificado de assinatura do administrador, insira o nome do certificado do agente de inscrição que assinará a solicitação de inscrição do certificado. Clique Em Avançar.

10. na página Usuário para se inscrever, clique em Selecionar Usuário para encontrar a conta de usuário para a qual deseja criar um certificado de cartão inteligente e clique em Inscrever-se.

11. coloque o cartão inteligente do usuário no leitor de cartão inteligente e clique em OK.

12. prossiga para inserir o PIN inicial do cartão inteligente.

13. clique em Exibir certificado para verificar se o certificado foi emitido para o usuário especificado.

um servidor de acesso remoto do Windows 2000 ou Windows Server 2003 suporta logon de cartão inteligente. Para habilitar o logon de cartão inteligente para esses servidores, você deve configurar o serviço RRAS para usar o Extensible Authentication Protocol (EAP). Em seguida, você deve especificar o logon do cartão inteligente como o método EAP.

para configurar um servidor de acesso remoto do Windows 2000 ou Windows Server 2003 para logon de cartão inteligente,

1. abra o console RRAS a partir de Toos administrativos.

2. prossiga para abrir a caixa de diálogo Propriedades do servidor de acesso remoto que deve aceitar o logon do cartão inteligente.

3. clique na guia Segurança.

4. clique em Autenticação do Windows e em Métodos de autenticação.

5. escolha a opção Extensible Authentication Protocol (EAP).

6. clique em métodos EAP.

7. Use a lista disponível para localizar e clique duas vezes em cartão inteligente ou outro certificado. clicar.

8. prossiga para desmarcar as outras opções de autenticação. clicar.

9. na caixa de diálogo Propriedades do servidor, clique em OK.

10. no console RRAS, localize Políticas de Acesso Remoto na árvore do console.

11. Clique duas vezes em Permitir Acesso se a permissão de discagem estiver ativada.

12. quando a caixa de diálogo Propriedades abrir, clique em Editar Perfil.

13. clique na guia Autenticação.

14. clique em métodos EAP.

15. quando a caixa de diálogo Selecionar provedores de EAP for aberta, clique em Adicionar.

16. na caixa de diálogo Adicionar EAP, escolha a opção Cartão Inteligente ou outro certificado.

17. clique em OK.

18. na caixa de diálogo Selecionar provedores de EAP, clique em Editar.

19. quando a caixa de diálogo cartão inteligente ou outras propriedades do certificado for aberta, na caixa Certificado emitido para, escolha o certificado do computador emitido para o servidor específico.

20. clique em OK e feche todas as caixas de diálogo abertas.

Você pode ativar certas configurações de diretiva de Diretiva de Grupo que podem ajudá-lo a simplificar cartão inteligente administração no seu ambiente:

• limite de bloqueio de Conta: Você pode usar as configurações de essa política para proteger o seu cartão inteligente processo de autenticação de palavra-passe de ataques.

• não permita o redirecionamento do dispositivo de cartão inteligente: quando ativado, os usuários não poderão usar cartões inteligentes para fazer logon em um servidor de Serviços de Terminal.

• na remoção do cartão inteligente: você pode usar essa configuração para impedir que os usuários executem sessões ativas autônomas. Use essas configurações para especificar que as sessões dos usuários estão bloqueadas ou desconectadas quando removem seus cartões inteligentes do leitor de cartão inteligente.

• cartão inteligente necessário para logon interativo: quando ativado, um usuário só pode fazer logon no computador local usando autenticação de cartão inteligente. O Usuário não pode usar uma conta de usuário e fornecer as credenciais de nome de usuário e senha para fazer logon.