Înțelegerea și implementarea autentificării cardurilor inteligente

o prezentare generală a autentificării și a cardurilor inteligente

Administratorii trebuie să asigure rețeaua de atacurile lansate de hackeri, spioni, teroriști, hoți și criminali. Securitatea cuprinde numeroase tehnologii, protocoale, standarde, politici, parole și chei secrete. Toate aceste mecanisme se concentrează de obicei pe următoarele:

• autentificare

• controlul accesului

• protecția datelor

• audit / responsabilitate

autentificarea este procesul prin care o entitate se identifică, înainte ca conectarea la rețea să fie permisă. După autentificarea unui utilizator, controlul accesului definește ce resurse pot fi accesate, ce acțiuni pot fi efectuate asupra resursei și dacă aceste acțiuni sunt auditate sau nu. Controlul accesului este implementat prin specificarea permisiunilor pentru resurse și obiecte și atribuirea drepturilor utilizatorilor. Protecția datelor implică două concepte de securitate, și anume, confidențialitatea datelor și integritatea datelor. Confidențialitatea datelor se referă la securizarea datelor pe măsură ce acestea sunt transmise prin rețea prin aplicarea operațiilor criptografice. Algoritmii de criptare și utilizarea cheilor private și Publice asigură confidențialitatea datelor. Orice părți neautorizate care interceptează mesajul nu vor putea interpreta conținutul mesajului. Integritatea datelor este implementată prin semnarea digitală a mesajelor și fișierelor. Prin utilizarea semnăturilor digitale, puteți determina dacă mesajul a fost modificat sau nu. Din această scurtă discuție, puteți vedea că multe concepte și principii sunt incluse atunci când se discută despre securitate. Deci, unde se încadrează cardurile inteligente în procesul de securizare a rețelei și resurselor unei organizații împotriva atacurilor rău intenționate. Răspunsul este autentificarea.

după cum am menționat anterior, autentificarea este un proces prin care utilizatorii sau alte entități se identifică astfel încât să poată încerca să acceseze resursele rețelei. Autentificarea este pasul inițial în procesul de a permite utilizatorilor să acceseze resursele rețelei. În Active Directory, autentificarea utilizatorului are loc de către utilizator care furnizează acreditările contului de utilizator, cum ar fi numele de conectare al utilizatorului, parola și identificatorul de securitate al utilizatorului (Sid).

autentificarea în mediile Windows Server 2003 implică următoarele două procese:

• conectare interactivă: conectarea interactivă apare atunci când un utilizator se conectează la sistem utilizând o parolă sau o cartelă inteligentă.

• autentificarea în rețea: autentificarea în rețea are loc atunci când unui utilizator i se permite să acceseze resurse, fără ca utilizatorul să fie nevoit să reintroducă această parolă sau numărul personal de identificare (PIN) al cardului inteligent.

utilizatorul sau entitatea își dovedește identitatea prin utilizarea unui secret partajat. Secretul partajat poate fi una dintre componentele enumerate mai jos și trebuie să fie un secret între utilizatorul care solicită autentificarea și autentificatorul, pentru ca autentificarea să aibă succes:

• o parolă

• o cheie de criptare

• un PIN secret

protocoalele de autentificare sunt utilizate pentru a partaja secretul între utilizator și autentificator. Autentificatorul permite apoi accesul sau refuză accesul solicitantului. Protocoalele de autentificare care pot fi utilizate în mediile Windows Server 2003 sunt enumerate mai jos:

• Kerberos versiunea 5, utilizată pentru autentificarea în rețea. Kerberos versiunea 5 este utilizată pentru procesul de autentificare interactivă de conectare și pentru autentificarea în rețea în Windows Server 2003.

• Secure Socket Layer / Transport Layer Security (SSL / TLS), utilizat pentru autentificarea în rețea și se bazează pe certificate de chei publice X. 509.

• Microsoft Windows NT LAN Manager (NTLM), utilizat pentru autentificarea în rețea, dar în principal pentru compatibilitatea Microsoft Windows NT 4.

• Protocolul de autentificare Microsoft Challenge Handshake versiunea 2 (MS-CHAP v2), utilizat pentru autentificarea în rețea și autentificarea dial-up.

• Password Authentication Protocol (PAP), utilizat pentru autentificarea în rețea și autentificarea dial-up.

• protocol de autentificare extensibil-securitate la nivel de Transport (EAP-TLS), utilizat pentru autentificarea conexiunii fără fir.

• Extensible Authentication Protocol (EAP), utilizat pentru autentificarea în rețea și autentificarea dial-up și include suport pentru carduri inteligente (autentificare activată hardware).

autentificarea activată Hardware apare atunci când cheile de criptare sunt stocate pe un card inteligent, un card PC sau un alt mecanism criptografic de jetoane, iar utilizatorul trebuie să aibă cardul inteligent și codul PIN sau parola pentru a trece autentificarea și a accesa sistemul. Acest lucru oferă un nivel suplimentar de securitate, deoarece orice persoane neautorizate care încearcă să acceseze sistemul, are nevoie de smart card și PIN-ul sau parola.

autentificarea cardurilor inteligente se bazează pe utilizarea cardurilor inteligente și este acceptată în Windows 2000 și Windows Server 2003. Un smart card este un dispozitiv de securitate sau un simbol hardware de dimensiuni card de credit, care poate fi utilizat pentru a oferi protecție suplimentară aplicațiilor și protocoalelor de securitate.

cardurile inteligente oferă următoarele caracteristici:

• metodă sigură de autentificare a utilizatorului

• logare interactivă

• logon-uri de acces la distanță

• logare Administrator

• semnarea codului securizat

• e-mail securizat

în mediile de rețea, acestea sunt de obicei utilizate în următoarele scopuri

• conectarea la un computer

• criptarea e-mailului

• criptarea fișierelor de disc prin EFS

așa cum am menționat mai devreme, smart card autentificarea oferă o autentificare foarte puternică, deoarece utilizatorul trebuie să dețină cardul inteligent, iar utilizatorul trebuie să cunoască numărul personal de identificare (PIN). Puteți bloca o cartelă inteligentă din sistem după ce au fost făcute un număr succesiv de încercări de conectare nereușite. Pentru a activa aceste caracteristici, autentificarea smart card implică utilizarea unui cititor de carduri inteligente care este atașat la computer. Se recomandă utilizarea cititoarelor Plug and Play (PnP) cu Windows Server 2003. Cardul inteligent conține un microprocesor și o memorie flash permanentă care conține informațiile de conectare ale utilizatorului, cheia privată, certificatele digitale și alte informații private. Când utilizatorul introduce cardul inteligent în cititorul de carduri inteligente, utilizatorul trebuie să furnizeze codul PIN pentru a se conecta la sistem. Cardurile inteligente sunt concepute pentru a oferi autentificare rezistentă la manipulare. Diferența dintre cardurile inteligente și cheile private software este că puteți muta cardurile inteligente de la un computer la computer.

cititorul de carduri inteligente este de obicei atașat la portul serial, portul USB sau portul PCMCIA al computerului. Deoarece PC-urile, laptopurile și PDA-urile au unul dintre aceste porturi, cititoarele de carduri inteligente sunt acceptate de toate computerele. Cardurile inteligente sunt disponibile în mai multe forme. Majoritatea deși au o asemănare cu carduri de credit. Cele mai avansate carduri inteligente utiliza magnetics. Ceea ce înseamnă acest lucru este că nu trebuie să aibă contacte externe. O formă comună este dongle-ul care se poate încadra într-un port USB. De aici, este accesat de furnizorul de servicii criptografice (CSP). Formularul dongle nu are nevoie de niciun cititor special. Căderea formularului este că este de aproximativ patru ori mai costisitoare decât formele convenționale de carduri inteligente. În timp ce instalarea unei implementări de carduri inteligente poate fi complexă și costisitoare, un alt proces dificil este determinarea furnizorului care să utilizeze. Driverele produselor de carduri inteligente de la Gemplus și Schlumberger sunt de fapt încorporate în sistemul de operare.

considerații de implementare a cardului inteligent

autentificarea prin carduri inteligente este acceptată în Windows 2000 și Windows Server 2003, dar depinde de infrastructura cheii publice (PKI). PKI trebuie să existe înainte de a putea implementa autentificarea cardului inteligent. Se recomandă utilizarea unei autorități de certificare a întreprinderii (ca) pentru autentificare bazată pe carduri inteligente. Entitățile ca independente și entitățile ca externe nu sunt recomandate pentru utilizarea cu autentificarea cu carduri inteligente.

în timp ce există destul de un număr de furnizori de a alege de la pentru a oferi tehnologia smart card, amintiți-vă că Windows Server 2003 nu are suport on-Plug and Play cititoare de carduri inteligente. Se recomandă să utilizați numai carduri inteligente și cititoare compatibile cu computerul Personal/cardul inteligent (PC/SC), chiar și atunci când un furnizor furnizează cititoare de carduri inteligente non-Plug and Play care pot funcționa cu Windows Server 2003. Pe lângă implementarea unui PKI, fiecare computer are nevoie de un cititor de carduri inteligente.

deoarece costul este întotdeauna un factor important, puteți lua în considerare factorii enumerați mai jos ca fiind cei care afectează costul administrării unei implementări de carduri inteligente:

• Numărul de utilizatori care vor utiliza programul smart card, precum și locul în care se află acești utilizatori.

• modul în care utilizatorii vor fi emise carduri inteligente. De asemenea, ar trebui incluse cerințele pentru verificarea identităților utilizatorilor.

• procedura care trebuie utilizată atunci când utilizatorii rătăcesc sau deteriorează cardurile inteligente care le-au fost emise.

când planificați o soluție de autentificare smart card, trebuie să definiți metodele de autentificare și logare care vor fi utilizate. Aceasta ar include:

• identificarea strategiilor de autentificare care urmează să fie implementate.

• dependențe PKI.

• orice probleme de implementare smart card.

pregătirea PKI pentru implementarea unui card inteligent

așa cum am menționat anterior, cardurile inteligente depind de implementarea unui PKI. Cardurile inteligente au nevoie de certificate pentru a gestiona utilizatorii care au voie să se autentifice folosind carduri inteligente. Certificatele sunt utilizate pentru a verifica identitatea utilizatorilor, aplicațiilor, computerelor și serviciilor; și pot fi utilizate pentru a securiza e-mailul, pentru autentificarea codului Web și a aplicației și pentru a permite utilizarea cardurilor inteligente. O autoritate de certificare (CA) emite certificate utilizatorilor și altor entități.

certificatul ar conține de obicei următoarele informații:

• numărul de serie al certificatului

• informații care identifică utilizatorul.

• informații care identifică CA care a emis certificatul.

• cheia publică a utilizatorului

• perioada de valabilitate a certificatului

• numele distinctiv al serverului ca emitent

capacitatea PKI de a suporta carduri inteligente este o caracteristică atractivă a implementării Windows PKI. Pentru a implementa carduri inteligente, unul dintre primii pași este să instalați servicii de certificate pe un server din mediul dvs. și să configurați serverul ca întreprindere ca. După aceasta, va trebui să creați trei șabloane de certificate pentru a permite utilizarea cardurilor inteligente în cadrul organizației dvs. Modelele de Certificate pot fi definite ca un set de reguli și setări care specifică conținutul și formatul certificatelor emise, pe baza utilizării preconizate. Configurați șabloanele de certificate pe CAs în cadrul implementării PKI. Șablonul de certificat se aplică atunci când un utilizator solicită un certificat de la CA. Numai Windows Server 2003 enterprise CAs utilizează șabloane de certificate stocate în Active Directory pentru a crea certificate pentru utilizatori și computere.

pentru implementarea unui card inteligent, trebuie să creați următoarele trei șabloane de certificate:

• certificat de agent de înscriere: acest șablon de certificat permite unui computer Windows Server 2003 să servească drept stație de înscriere. Stația de înscriere creează și emite certificate pentru utilizatorii de carduri inteligente.

• certificatul de conectare a cardului inteligent: acest șablon de certificat permite utilizatorilor să se autentifice utilizând carduri inteligente.

• Certificate De Utilizator Pentru Carduri Inteligente: Acest șablon de certificat permite utilizatorilor să securizeze e-mailul după autentificare.

implementarea cardurilor inteligente

pașii tipici pentru implementarea unei soluții de carduri inteligente într-o organizație sunt enumerați mai jos. Etapele reale sunt determinate de modul în care cardurile inteligente sunt utilizate în PKI:

• configurați o stație de înscriere

• definiți șabloanele de certificate necesare pentru CA și Active Directory.

• definiți agenții de înscriere care vor emite carduri inteligente

• pregătiți cardurile inteligente

• emiteți certificatela cardul inteligent pentru utilizatori

• configurați serverele de acces la distanță pentru a accepta autentificarea cardului inteligent

• înscrieți serverele pentru certificate de calculator

deoarece șabloanele de certificate utilizate de cardurile inteligente nu sunt instalate în mod implicit pe un ca de întreprindere, va trebui să utilizați consola Autorității de certificare pentru a configura aceste șabloane de certificate. În plus, trebuie să atribuiți utilizatorilor permisiunile corecte pentru șabloanele de certificate. Pentru a modifica permisiunile pentru un șablon de certificat, trebuie să fiți membru al Grupului de administratori de domeniu din domeniul rădăcină forestieră sau membru al Grupului de administratori de întreprindere.

cum să setați permisiunile pe șabloanele de certificate

1. Faceți clic pe Start, Run și introduceți certtmpl.msc în caseta de dialog Executare. Faceți clic pe OK.

2. Localizați și faceți clic dreapta pe certificatul ale cărui permisiuni doriți să le modificați, apoi faceți clic pe Proprietăți din meniul de comenzi rapide.

3. Faceți clic pe fila Securitate.

4. alocați utilizatorilor și grupurilor care trebuie să solicite certificate care se bazează pe șablonul de certificat particular, permisiunile de citire și Înscriere.

5. Faceți clic pe OK.

serverul de certificate inclus în Windows Server 2003 include o stație de înscriere smart card care poate fi utilizată pentru a distribui certificate utilizatorilor. Puteți utiliza stația de înscriere smart card pentru a solicita un certificat smart card în numele utilizatorului. La rândul său, acest lucru vă permite să îl preinstalați pe cardul inteligent al utilizatorului. Înainte ca utilizatorii să poată solicita certificate, trebuie să pregătiți stația de înscriere pentru a crea certificatele. Primul pas în pregătirea CA pentru emiterea certificatelor de carduri inteligente este crearea certificatului de agent de înscriere.

cum se creează certificatul de Agent de înscriere

1. Faceți clic pe Start, Instrumente de administrareși apoi faceți clic pe Autoritatea de certificare.

2. în arborele consolei, extindeți Autoritatea de certificare, < numele serverului > și șabloanele de Certificate.

3. Faceți clic pe Nou, apoi pe certificat de EMIS din meniul Acțiune.

4. alegeți șablonul agentului de înscriere. Faceți clic pe OK.

5. în meniul Acțiune, faceți clic pe Nou, apoi pe certificat de EMIS din meniul Acțiune

   • dacă doriți să creați certificate pentru autentificarea utilizatorului, alegeți șablonul de certificat de conectare a cardului inteligent. Faceți clic pe OK.

   • dacă doriți să creați certificate pentru autentificarea utilizatorului și pentru criptarea informațiilor utilizatorului, alegeți șablonul Certificat utilizator card inteligent. Faceți clic pe OK.

6. șabloanele de certificate ar trebui să fie acum afișate în fereastra consolei

7. închideți consola Autorității de certificare.

cum se creează o stație de înscriere a certificatului de card inteligent

1. Conectați-vă la aparat

2. Faceți clic pe Start, Executare și introduceți mmc în caseta de dialog Executare. Faceți clic pe OK

3. din meniul Fișier, faceți clic pe Adăugare / eliminare completare Snap-in, apoi faceți clic pe Adăugare.

4. faceți dublu clic pe completare snap-in Certificate. Faceți clic pe OK.

5. Faceți Clic Pe Închidere.

6. în completare snap-in Certificate, extindeți certificate, utilizator curent și apoi Personal.

7. Selectați toate activitățile, apoi solicitați certificat nou din meniul Acțiune.

8. când pornește Expertul solicitare certificat, faceți clic pe Următorul.

9. când se deschide pagina tipuri de Certificate, faceți clic pe agent de înscriere și apoi faceți clic pe Următorul.

10. în pagina Nume și descriere prietenoase cu certificatul, introduceți o descriere pentru certificat. Faceți Clic Pe Următorul.

11. când se deschide pagina rezumat, faceți clic pe Terminare.

Configurarea utilizatorilor pentru a utiliza carduri inteligente include achiziționarea și instalarea de cititoare de carduri inteligente pentru toate stațiile de lucru ale utilizatorilor. Instalarea cititoarelor de carduri inteligente compatibile Plug and Play este de obicei o instalare hardware necomplicată.

cititoarele de carduri inteligente acceptate de Windows XP și Windows Server 2003 sunt enumerate mai jos.

• American Express, GCR435 – USB port

• Bull, SmarTLP3 – serial port

• Compaq, Serial reader – serial port

• Gemplus, GCR410P – serial port

• Gemplus, GPR400 – PCMCIA port

• Gemplus, GemPC430 – USB port

• Hewlett-Packard, ProtectTools, – serial port

• Litronic, 220P, – serial port

• Schlumberger, Reflex 20 – PCMCIA port

• Schlumberger, Reflex 72 – serial port

• Schlumberger, Reflex Lite – serial port

• SCM Microsystems, SCR111 – serial port

• SCM Microsystems, SCR120 – PCMCIA port

• SCM Microsystems, SCR200 – serial port

• SCM Microsystems, SCR300 – USB port

• Systemneeds, External – serial port

• Omnikey AG, 2010 – serial port

• Omnikey AG, 2020 – USB port

• Omnikey AG, 4000 – PCMCIA port

Some smart card driverele reader sunt preinstalate în Windows Server 2003, în timp ce altele nu sunt. Puteți instala un cititor de carduri inteligente pe computer atașând cititorul de carduri inteligente la un port serial sau la un port USB. Pentru laptopuri, introduceți cititorul de carduri inteligente într-un slot PCMCIA.

după instalarea cititorului de carduri inteligente, stația de înscriere trebuie utilizată pentru următoarele activități:

• instalați Smart card logon sau certificate de utilizator pentru cardurile inteligente ale utilizatorilor.

• Setați codul PIN inițial pentru utilizator.

când sunt instalate cititoarele de carduri inteligente, următorul pas este să emiteți certificate de carduri inteligente utilizatorilor. Acest proces este cunoscut sub numele de înscriere. Înainte de înscrierea unui utilizator și emiterea utilizatorului cu smart card, ar trebui să educați utilizatorii cu privire la aceste puncte:

• utilizatorii ar trebui să se abțină de la îndoirea cardului inteligent, deoarece pot deteriora mecanismele interne ale cardului inteligent.

• utilizatorii ar trebui să protejeze cipul extern al cardului inteligent de a fi zgâriat sau afectat. Este posibil ca cititorul de carduri inteligente să nu poată citi informațiile stocate pe card dacă acestea sunt deteriorate în acest fel.

• utilizatorii ar trebui să-și stocheze cardurile inteligente într-o locație rece și uscată și în siguranță de orice alte surse magnetice, cum ar fi cardurile de credit. Temperaturile excesive la cald ar putea duce la faptul că cardul inteligent devine fragil și casant.

pentru a înscrie un utilizator de card inteligent,

1. accesați stația de lucru utilizând un cont de utilizator care are drepturile necesare în șablonul de certificat de agent de înscriere pentru domeniul care conține contul de utilizator.

2. deschideți Internet Explorer și accesați CA introducând http://CA nume server/certsrv.

3. pe pagina de întâmpinare, faceți clic pe Solicitare certificat

4. pe pagina Solicitare certificat, faceți clic pe Solicitare avansată certificat.

5. în pagina Solicitare avansată de certificat, alegeți opțiunea solicitare certificat pentru o cartelă inteligentă în numele altui utilizator.

6. pe pagina stație de înscriere certificat card inteligent, alegeți să creați una dintre următoarele:

   • certificat de conectare Smart card

   • certificat de utilizator al cardului inteligent

7. în caseta listă autoritate de certificare, alegeți numele CA pentru domeniul care ar trebui să emită certificate de card inteligent.

8. în caseta listă furnizor de servicii criptografice, introduceți numele Furnizorului pe care îl utilizați pentru carduri inteligente.

9. în caseta certificat de semnare Administrator, introduceți numele certificatului de Agent de înscriere care va semna cererea de înscriere a certificatului. Faceți Clic Pe Următorul.

10. în pagina Utilizator pentru înscriere, faceți clic pe Selectare utilizator pentru a găsi contul de utilizator pentru care doriți să creați un certificat de card inteligent și faceți clic pe Înscriere.

11. plasați cardul inteligent al utilizatorului în cititorul de carduri inteligente și faceți clic pe OK.

12. continuați să introduceți codul PIN inițial pentru cardul inteligent.

13. Faceți clic pe Vizualizare certificat pentru a verifica dacă certificatul a fost emis utilizatorului pe care l-ați specificat.

un server de acces la distanță Windows 2000 sau Windows Server 2003 acceptă conectarea cardului inteligent. Pentru a activa logon smart card pentru aceste servere, trebuie să configurați serviciul RRAS pentru a utiliza Extensible Authentication Protocol (EaP). Apoi, trebuie să specificați smart card logon ca metoda EAP.

pentru a configura un server de acces la distanță Windows 2000 sau Windows Server 2003 pentru conectarea cardului inteligent,

1. deschideți consola RRAS din Toos Administrative.

2. continuați să deschideți caseta de dialog Proprietăți a serverului de acces la distanță care ar trebui să accepte conectarea cardului inteligent.

3. Faceți clic pe fila Securitate.

4. Faceți clic pe autentificare Windows și faceți clic pe metode de autentificare.

5. alegeți opțiunea Extensible Authentication Protocol (EAP).

6. Faceți clic pe metode EAP.

7. utilizați lista disponibilă pentru a găsi și faceți dublu clic pe Smart Card sau alt certificat. Faceți clic pe OK.

8. continuați să deselectați celelalte opțiuni de autentificare. Faceți clic pe OK.

9. în caseta de dialog Proprietăți a serverului, faceți clic pe OK.

10. în consola RRAS, localizați politicile de acces la distanță în arborele consolei.

11. faceți dublu clic pe Permiteți accesul dacă permisiunea de apelare este activată.

12. când se deschide caseta de dialog Proprietăți, faceți clic pe Editare profil.

13. Faceți clic pe fila autentificare.

14. Faceți clic pe metode EAP.

15. când se deschide caseta de dialog Selectare furnizori EAP, faceți clic pe Adăugare.

16. în caseta de dialog Adăugare EAP, alegeți opțiunea Smart Card sau alt certificat.

17. Faceți clic pe OK.

18. în caseta de dialog Selectare furnizori EAP, Faceți clic pe Editare.

19. când se deschide caseta de dialog Smart Card sau alte proprietăți ale certificatului, în caseta certificat eliberat către, alegeți certificatul computer emis serverului respectiv.

20. Faceți clic pe OK și închideți toate casetele de dialog deschise.

puteți activa anumite setări de politică în Politica de grup care vă pot ajuta să simplificați administrarea cardurilor inteligente în mediul dumneavoastră:

• pragul de blocare a contului: puteți utiliza setările acestei politici pentru a vă proteja procesul de autentificare a cardului inteligent împotriva atacurilor cu parolă.

• nu permiteți redirecționarea dispozitivului smart card: când este activată, utilizatorii nu vor putea utiliza carduri inteligente pentru a vă conecta la un server Terminal Services.

• la eliminarea cardului inteligent: puteți utiliza această setare pentru a împiedica utilizatorii să ruleze sesiuni active nesupravegheate. Utilizați aceste setări pentru a specifica faptul că sesiunile utilizatorilor sunt blocate sau deconectate atunci când își scot cardurile inteligente din cititorul de carduri inteligente.

• Smart card necesar pentru logon interactiv: când este activat, un utilizator se poate conecta numai la computerul local folosind autentificarea smart card. Utilizatorul nu poate utiliza un cont de utilizator și să furnizeze numele de utilizator și parola acreditările pentru a vă conecta.