Förstå och implementera Smartkortautentisering

en översikt över autentisering och smarta kort

administratörer måste säkra nätverket från attacker som lanserats av hackare, spioner, terrorister, tjuvar och brottslingar. Säkerhet omfattar många tekniker, protokoll, standarder, policyer, lösenord och hemliga nycklar. Alla dessa mekanismer fokuserar vanligtvis på följande:

• autentisering

• åtkomstkontroll

• dataskydd

• revision / ansvarsskyldighet

autentisering är den process genom vilken en enhet identifierar sig, innan Nätverksinloggning är tillåten. När en användare har autentiserats definierar åtkomstkontroll vilka resurser som kan nås, vilka åtgärder som kan utföras på resursen och om dessa åtgärder är granskade eller inte. Åtkomstkontroll implementeras genom att ange behörigheter för resurser och objekt och tilldela rättigheter till användare. Dataskydd omfattar två säkerhetskoncept, nämligen datasekretess och dataintegritet. Datasekretess handlar om att säkra data när de överförs via nätverket genom tillämpning av kryptografiska operationer. Krypteringsalgoritmer och användning av privata och offentliga nycklar ger datasekretess. Eventuella obehöriga parter som avlyssnar meddelandet kommer inte att kunna tolka innehållet i meddelandet. Dataintegritet implementeras genom digital signering av meddelanden och filer. Genom att använda digitala signaturer kan du avgöra om meddelandet har manipulerats eller inte. Från denna korta diskussion kan du se att många begrepp och principer ingår när man diskuterar säkerhet. Så var passar smarta kort in i processen att säkra en organisations nätverk och resurser från skadliga attacker. Svaret är autentisering.

som tidigare nämnts är autentisering en process där användare eller andra enheter identifierar sig så att de kan försöka komma åt nätverksresurser. Autentisering är det första steget i processen att låta användare komma åt nätverksresurser. I Active Directory sker användarautentisering av användaren som tillhandahåller användarkontouppgifter, till exempel användarinloggningsnamnet, lösenordet och användarens säkerhetsidentifierare (SID).

autentisering i Windows Server 2003-miljöer innefattar följande två processer:

• Interaktiv inloggning: Interaktiv inloggning sker när en användare loggar in på systemet med ett lösenord eller smartkort.

• nätverksautentisering: nätverksautentisering sker när en användare får åtkomst till resurser, utan att användaren behöver ange detta lösenord eller SMARTKORTETS personliga identifikationsnummer (PIN).

användaren eller enheten bevisar sin identitet genom att använda en delad hemlighet. Den delade hemligheten kan vara en av komponenterna nedan och måste vara en hemlighet mellan användaren som begär autentisering och autentiseraren för att autentisering ska lyckas:

• ett lösenord

• en krypteringsnyckel

• en hemlig PIN

autentiseringsprotokoll används för att dela hemligheten mellan användaren och autentiseraren. Autentiseraren tillåter antingen åtkomst eller nekar begärarens åtkomst. De autentiseringsprotokoll som kan användas i Windows Server 2003-miljöer listas nedan:

• Kerberos version 5, Används för nätverksautentisering. Kerberos version 5 Används för den interaktiva inloggningsautentiseringsprocessen och för nätverksautentisering i Windows Server 2003.

• Secure Socket Layer / Transport Layer Security (SSL / TLS), som används för nätverksautentisering och är baserad på X. 509 public key-certifikat.

• Microsoft Windows NT LAN Manager (NTLM), används för nätverksautentisering men främst för Microsoft Windows NT 4-kompatibilitet.

• Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2), som används för nätverksautentisering och fjärrautentisering.

• Password Authentication Protocol (Pap), som används för nätverksautentisering och fjärrautentisering.

• Extensible Authentication Protocol-Transport Level Security (EAP-TLS), som används för autentisering av trådlös anslutning.

• Extensible Authentication Protocol (EAP), som används för nätverksautentisering och fjärrautentisering, och inkluderar stöd för smarta kort (hårdvaruaktiverad autentisering).

Hårdvaruaktiverad autentisering uppstår när krypteringsnycklar lagras på ett smartkort, ett PC-kort eller någon annan kryptografisk tokenmekanism, och användaren måste ha smartkortet och PIN-koden eller lösenordet för att skicka autentisering och komma åt systemet. Detta ger en extra säkerhetsnivå eftersom alla obehöriga som försöker komma åt systemet behöver smartkortet och PIN-koden eller lösenordet.

autentisering av smarta kort baseras på användning av smarta kort och stöds i Windows 2000 och Windows Server 2003. Ett smartkort är en säkerhetsenhet eller kreditkortsstorlek hårdvarutoken som kan användas för att ge ytterligare skydd för applikationer och säkerhetsprotokoll.

smarta kort ger följande funktioner:

• säker metod för användarautentisering

• Interaktiv inloggning

• fjärråtkomst inloggningar

• Administratörsinloggningar

• säker kodsignering

• säker e-post

i nätverksmiljöer används de vanligtvis för följande ändamål

• logga in på en dator

• kryptering av e-post

• kryptering av diskfiler via EFS

som tidigare nämnts, smartkort autentisering ger mycket stark autentisering eftersom användaren måste ha smartkortet och användaren måste känna till det personliga identifieringsnumret (PIN). Du kan blockera ett smartkort från systemet efter ett på varandra följande antal misslyckade inloggningsförsök har gjorts. För att aktivera dessa funktioner innebär smartkortautentisering användningen av en smartkortläsare som är ansluten till datorn. Det rekommenderas att använda Plug and Play-läsare (PNP) med Windows Server 2003. Smartkortet innehåller en mikroprocessor och permanent flashminne som innehåller användarens inloggningsinformation, privat nyckel, digitala certifikat och annan privat information. När användaren sätter in smartkortet i smartkortläsaren måste användaren ange PIN-koden för att logga in på systemet. Smarta kort är utformade för att ge manipuleringsbeständig autentisering. Skillnaden mellan smarta kort och programvara privata nycklar är att du kan flytta smarta kort från en dator till dator.

smartkortläsaren är vanligtvis ansluten till den seriella porten, USB-porten eller PCMCIA-porten på datorn. Eftersom datorer, bärbara datorer och handdatorer har en av dessa portar stöds smartkortläsare av alla datorer. Smarta kort finns i ett antal former. Majoriteten har dock en likhet med kreditkort. De mer avancerade smartkorten använder magnetik. Vad detta betyder är att de inte behöver ha externa kontakter. En vanlig form är dongeln som kan passa in i en USB-port. Härifrån nås den av Cryptographic Service Provider (CSP). Dongleformen behöver ingen speciell läsare. Formens undergång är att det är ungefär fyra gånger dyrare än de konventionella smartkortformerna. Medan installationen av ett smartkortimplementering kan vara komplicerat och dyrt, är en annan svår process att bestämma vilken leverantör som ska användas. Drivrutinerna för smartkortprodukter från Gemplus och Schlumberger är faktiskt inbyggda i operativsystemet.

Smartkortdistributionsöverväganden

autentisering via smartkort stöds i Windows 2000 och Windows Server 2003, men är beroende av Public Key Infrastructure (PKI). PKI måste existera innan du kan implementera smartkortautentisering. Det rekommenderas att använda en enterprise certification authority (CA) för autentisering baserad på smarta kort. Fristående certifikatutfärdare och externa certifikatutfärdare rekommenderas inte för användning med autentisering av smarta kort.

även om det finns ett stort antal leverantörer att välja mellan för att ge din smart card-teknik, kom ihåg att Windows Server 2003 inte stöder On-Plug and Play smart card-läsare. Det rekommenderas att endast använda persondator/smartkort (PC/SC) kompatibla smartkort och läsare, även när en leverantör tillhandahåller icke-Plug and Play smartkortläsare som kan fungera med Windows Server 2003. Förutom implementeringen av en PKI behöver varje dator en smartkortläsare.

eftersom kostnaden alltid är en viktig faktor kan du betrakta de faktorer som anges nedan som de som påverkar kostnaden för att administrera ett smartkortimplementering:

• antalet användare som kommer att använda smart card-programmet, liksom var dessa specifika användare finns.

• det sätt på vilket användarna kommer att utfärdas smarta kort. Kraven för verifiering av användaridentiteter bör också inkluderas.

• förfarandet som ska användas när användare tappar bort eller skadar smartkorten som utfärdades till dem.

när du planerar en smartkortautentiseringslösning måste du definiera autentiserings-och inloggningsmetoderna som ska användas. Detta skulle inkludera:

• identifiera de autentiseringsstrategier som kommer att genomföras.

• PKI beroenden.

• eventuella problem med smartkort.

förbereda PKI för ett Smartkortimplementering

som tidigare nämnts är smartkort beroende av implementeringen av en PKI. Smartkort behöver certifikat för att hantera vilka användare som får autentisera med smartkort. Certifikat används för att verifiera identiteten hos användare, applikationer, datorer och tjänster; och kan användas för att säkra e-post, för webb-och applikationskodautentisering och för att möjliggöra användning av smarta kort. En certifikatutfärdare (ca) utfärdar certifikat till användare och andra enheter.

certifikatet innehåller vanligtvis följande information:

• certifikatets serienummer

• Information som identifierar användaren.

• Information som identifierar CA som utfärdade certifikatet.

• användarens offentliga nyckel

• certifikatets giltighetstid

• det utmärkta namnet på den utfärdande CA-servern

PKI: s förmåga att stödja smarta kort är en attraktiv funktion i Windows PKI-implementeringen. För att implementera smartkort är ett av de första stegen att installera certifikattjänster på en server i din miljö och konfigurera servern som en FÖRETAGSCERTIFIKATUTFÄRDARE. Därefter måste du skapa tre certifikatmallar för att möjliggöra användning av smarta kort inom din organisation. Certifikatmallar kan definieras som en uppsättning regler och inställningar som anger innehållet och formatet för certifikat som utfärdas, baserat på Avsedd användning. Du konfigurerar certifikatmallar på CAs inom din PKI-implementering. Certifikatmallen tillämpas när en användare begär ett certifikat från certifikatutfärdaren. Endast Windows Server 2003 enterprise CAS använder certifikatmallar lagrade i Active Directory För att skapa certifikat för användare och datorer.

för en smartkortsimplementering måste du skapa följande tre certifikatmallar:

• certifikat för Registreringsagent: den här certifikatmallen gör det möjligt för en Windows Server 2003-dator att fungera som en registreringsstation. Registreringsstationen skapar och utfärdar certifikat till smartkortanvändare.

• Smart Card-Inloggningscertifikatet: den här certifikatmallen gör det möjligt för användare att autentisera med smartkort.

• Smartkort Användarcertifikat: Denna certifikatmall gör det möjligt för användare att säkra e-post efter autentisering.

implementera smartkort

de typiska stegen för att implementera en smartkortlösning i en organisation listas nedan. De faktiska stegen bestäms av det sätt på vilket smarta kort används i PKI:

• konfigurera en inskrivningsstation

• definiera nödvändiga certifikatmallar för CA och Active Directory.

• definiera inskrivningsagenter som kommer att utfärda smarta kort

• Förbered smarta kort

• utfärda certifikattill smartkortet för användare

• konfigurera fjärråtkomstservrar för att acceptera autentisering av smartkort

• registrera servrarna för datorcertifikat

eftersom certifikatmallarna som används av smartkort inte är installerade på en FÖRETAGSCERTIFIKATUTFÄRDARE som standard måste du använda certifikatutfärdarens konsol för att konfigurera dessa certifikatmallar. Utöver detta måste du tilldela användarna rätt behörigheter för certifikatmallarna. Om du vill ändra behörigheter för en certifikatmall måste du vara medlem i gruppen domänadministratörer i skogsrotdomänen eller medlem i gruppen företagsadministratörer.

så här ställer du in behörigheter på certifikatmallar

1. klicka på Start, Kör och ange certtmpl.msc i dialogrutan Kör. Klicka på OK.

2. leta upp och högerklicka på certifikatet vars behörigheter du vill ändra och klicka sedan på Egenskaper på snabbmenyn.

3. klicka på fliken Säkerhet.

4. tilldela användare och grupper som behöver begära certifikat som baseras på den specifika certifikatmallen, läs-och Registreringsbehörigheterna.

5. klicka på OK.

certifikatservern som ingår i Windows Server 2003 innehåller en smartkortregistreringsstation som kan användas för att distribuera certifikat till användare. Du kan använda smartkortregistreringsstationen för att begära ett smartkortcertifikat för användarens räkning. Detta i sin tur gör att du kan förinstallera den på användarens smartkort. Innan användare kan begära certifikat måste du förbereda registreringsstationen för att skapa certifikaten. Det första steget i att förbereda CA för att utfärda smartkortcertifikat är att skapa Registreringsagentcertifikatet.

hur man skapar Registreringsagentcertifikatet

1. klicka på Start, Administrationsverktyg och sedan på certifikatutfärdare.

2. i konsolträdet expanderar du certifikatutfärdare,<servernamn > och certifikatmallar.

3. klicka på ny och sedan på certifikat som ska utfärdas från åtgärdsmenyn.

4. Välj Inskrivningsagentmall. Klicka på OK.

5. klicka på nytt på åtgärdsmenyn och sedan på certifikat som ska utfärdas från åtgärdsmenyn

   • om du vill skapa certifikat för användarautentisering väljer du mallen för Inloggningscertifikat för smartkort. Klicka på OK.

   • om du vill skapa certifikat för användarautentisering och för kryptering av användarens information väljer du mallen för användarcertifikat för smartkort. Klicka på OK.

6. certifikatmallarna ska nu visas i konsolfönstret

7. Stäng konsolen certifikatutfärdare.

hur man skapar en smart card certificate enrollment station

1. logga in på maskinen

2. klicka på Start, Kör och ange mmc i dialogrutan Kör. Klicka på OK

3. klicka på Lägg till/ta bort snapin-modulen på Arkiv-menyn och klicka sedan på Lägg till.

4. dubbelklicka på snapin-modulen certifikat. Klicka på OK.

5. Klicka På Stäng.

6. expandera certifikat, Aktuell användare och sedan Personligt i snapin-modulen certifikat.

7. Markera alla aktiviteter och begär sedan nytt certifikat från åtgärdsmenyn.

8. när guiden certifikatbegäran startar klickar du på Nästa.

9. när sidan Certifikatstyper öppnas klickar du på Registreringsagent och sedan på Nästa.

10. ange en beskrivning för certifikatet på sidan Certifikatvänligt namn och beskrivning. Klicka På Nästa.

11. när sammanfattningssidan öppnas klickar du på Slutför.

att ställa in användare att använda smartkort inkluderar inköp och installation av smartkortläsare för alla användararbetsstationer. Installera smartkortläsare som är Plug and Play-kompatibla är vanligtvis en okomplicerad hårdvaruinstallation.

smartkortläsarna som stöds av Windows XP och Windows Server 2003 listas nedan.

• American Express, GCR435 – USB port

• Bull, SmarTLP3 – serial port

• Compaq, Serial reader – serial port

• Gemplus, GCR410P – serial port

• Gemplus, GPR400 – PCMCIA port

• Gemplus, GemPC430 – USB port

• Hewlett-Packard, ProtectTools, – serial port

• Litronic, 220P, – serial port

• Schlumberger, Reflex 20 – PCMCIA port

• Schlumberger, Reflex 72 – serial port

• Schlumberger, Reflex Lite – serial port

• SCM Microsystems, SCR111 – serial port

• SCM Microsystems, SCR120 – PCMCIA port

• SCM Microsystems, SCR200 – serial port

• SCM Microsystems, SCR300 – USB port

• Systemneeds, External – serial port

• Omnikey AG, 2010 – serial port

• Omnikey AG, 2020 – USB port

• Omnikey AG, 4000 – PCMCIA port

Some smart card läsarens drivrutiner är förinstallerade i Windows Server 2003, medan andra inte är det. Du kan installera en smartkortläsare på datorn genom att ansluta smartkortläsaren till en seriell port eller USB-port. För bärbara datorer, sätt in smartkortläsaren i en PCMCIA-plats.

när smartkortläsaren är installerad måste Inskrivningsstationen användas för följande uppgifter:

• installera smartkortinloggning eller användarcertifikat för dina användares smartkort.

• Ställ in den ursprungliga PIN-koden för användaren.

när smartkortläsarna är installerade är nästa steg att utfärda smartkortcertifikat till användare. Denna process kallas registrering. Innan du registrerar en användare och utfärdar användaren med smartkort bör du utbilda användare på dessa punkter:

• användare bör avstå från att böja smartkortet eftersom de kan skada smartkortets interna mekanismer.

• användare bör skydda det externa smartkortchipet från att repas eller bucklas. Smartkortläsaren kanske inte kan läsa informationen som finns lagrad på kortet om den är skadad på detta sätt.

• användare bör lagra sina smarta kort på en sval torr plats och säker från andra magnetiska källor som kreditkort. Överdriven heta temperaturer kan leda till att smartkortet blir sprött och brytbart.

för att registrera en smartkortanvändare,

1. få åtkomst till arbetsstationen med ett användarkonto som har nödvändiga rättigheter i certifikatmallen för Registreringsagent för domänen som innehåller användarkontot.

2. öppna Internet Explorer och öppna certifikatutfärdaren genom att ange http://CA servernamn / certsrv.

3. klicka på Begär ett certifikat på välkomstsidan

4. klicka på Avancerat certifikatbegäran på sidan begär ett certifikat.

5. på sidan Avancerad certifikatbegäran väljer du alternativet Begär ett certifikat för ett smartkort på uppdrag av en annan användare.

6. på sidan Smart Card Certificate Enrollment Station väljer du att skapa något av följande:

   • smartkort inloggningscertifikat

   • smartkort användarcertifikat

7. i listrutan certifikatutfärdare väljer du namnet på certifikatutfärdaren för domänen som ska utfärda smartkortcertifikat.

8. i listrutan kryptografisk tjänsteleverantör anger du namnet på den leverantör som du använder för smartkort.

9. i rutan administratör signering certifikat anger du namnet på registreringsagentcertifikatet som kommer att underteckna certifikatregistreringsbegäran. Klicka På Nästa.

10. på sidan användare att registrera klickar du på Välj användare för att hitta det användarkonto som du vill skapa ett smartkortcertifikat för och klicka på Registrera.

11. placera användarens smartkort i smartkortläsaren och klicka på OK.

12. Fortsätt för att ange den ursprungliga PIN-koden för smartkortet.

13. klicka på Visa certifikat för att verifiera att certifikatet har utfärdats till den användare som du angav.

en Windows 2000 eller Windows Server 2003 fjärråtkomstserver stöder smartkortinloggning. För att aktivera smartkortinloggning för dessa servrar måste du konfigurera rras-tjänsten för att använda EAP (Extensible Authentication Protocol). Sedan måste du ange smartkortinloggning som EAP-metod.

konfigurera en fjärråtkomstserver för Windows 2000 eller Windows Server 2003 för inloggning med smartkort,

1. öppna rras-konsolen från administrativa Toos.

2. Fortsätt för att öppna dialogrutan Egenskaper för fjärråtkomstservern som ska acceptera smartkortinloggning.

3. klicka på fliken Säkerhet.

4. klicka på Windows-autentisering och klicka på autentiseringsmetoder.

5. Välj alternativet Extensible Authentication Protocol (EAP).

6. klicka på EAP-metoder.

7. använd listan tillgänglig för att hitta och dubbelklicka på smartkort eller annat certifikat. Klicka på OK.

8. fortsätt att avmarkera de andra autentiseringsalternativen. Klicka på OK.

9. klicka på OK i dialogrutan Egenskaper på servern.

10. leta reda på Fjärråtkomstpolicyer i konsolträdet i rras-konsolen.

11. dubbelklicka på Tillåt åtkomst om Uppringningsbehörighet är aktiverat.

12. när dialogrutan Egenskaper öppnas klickar du på Redigera profil.

13. klicka på fliken autentisering.

14. klicka på EAP-metoder.

15. när dialogrutan Välj EAP-leverantörer öppnas klickar du på Lägg till.

16. i dialogrutan Lägg till EAP väljer du alternativet smartkort eller annat certifikat.

17. klicka på OK.

18. klicka på Redigera i dialogrutan Välj EAP-leverantörer.

19. när dialogrutan Egenskaper för smartkort eller andra certifikat öppnas väljer du det datorcertifikat som utfärdats till den specifika servern i rutan certifikat utfärdat till.

20. klicka på OK och stäng alla öppna dialogrutor.

du kan aktivera vissa principinställningar i Grupprincip som kan hjälpa till att förenkla smartkortadministration i din miljö:

• konto lockout tröskel: du kan använda inställningarna för denna policy för att skydda ditt smartkort autentiseringsprocessen från lösenordsattacker.

• Tillåt inte omdirigering av smartkort: när det är aktiverat kan användare inte använda smartkort för att logga in på en Terminal Services-server.

• vid borttagning av smartkort: du kan använda den här inställningen för att förhindra att användare kör obevakade aktiva sessioner. Använd dessa inställningar för att ange att användarnas sessioner är låsta eller loggade när de tar bort sina smartkort från smartkortläsaren.

• smartkort krävs för Interaktiv inloggning: när det är aktiverat kan en användare bara logga in på den lokala datorn med smartkortautentisering. Användaren kan inte använda ett användarkonto och ange användarnamn och lösenord för att logga in.