Оглавление
Использование смарт-карт для входа в Windows
В этой статье показано, как зарегистрировать и выдать пользователю сертификат входа со смарт-картой Windows с помощью eJavaToken.
Предисловие
1. Кража и потеря конфиденциальных данных.
Исследования показывают, что ноутбук крадут каждую минуту, а 97% из них никогда не восстанавливаются. Хотя потерянный компьютер можно измерить деньгами, потеря документов, данных управления проектом, личных данных и контактных данных может оказаться гораздо более ценным. То же самое и с настольными ПК. Хотя аутентификация на основе смарт-карт не может предотвратить кражу в первую очередь, она может остановить множество попыток чтения личных данных, а также может помочь предотвратить «утечку» сообщений.
2. Отсутствие пароля и повышение безопасности.
Исследования показали, что среднестатистический человек не может запомнить более 6 случайных чисел или букв, если они не сохранены в памяти, но для организаций обычно требуются пароли из 8 символов, которые могут часто меняться. К сожалению, люди, вынужденные использовать пароли, часто склонны выбирать либо очень простые (которые легко угадать), либо иначе они часто записывают их. Многие также используют один и тот же пароль для всего.
Общеизвестно, что лучший вариант повышения безопасности помимо использования имени пользователя и пароля - это объединить «то, что у вас есть» с «тем, что вы знаете». Это называется двухфакторной аутентификацией, и тот же принцип используется для защиты транзакций с чипом и PIN-кодом. Везде, где используется аутентификация пользователей, жизненно важно, чтобы только правильные люди могли получить доступ к информации, которую они имеют право просматривать. Используя смарт-карты, мы можем повысить уровень безопасности аутентификации и в то же время улучшить взаимодействие с пользователем.
Подготовка
1. eJavaToken (убедитесь, что апплет PKI уже загружен).
2. ПК с Windows server 2008 (используется для настройки сервера домена).
Использование
Настройка среды управления сертификатами смарт-карт
Необходимо Настроить Windows 2008 CA.
1) Установите Windows Server 2008 Enterprise Edition
2) Добавьте роли:
выберите «Пуск-> Диспетчер сервера-> роли», нажмите «Добавить роли», запустите «Мастер добавления ролей» и установите необходимые роли сервера:
a) Выберите «DNS-сервер». Для установки и следуйте инструкциям, чтобы завершить установку;
б) Выберите «Доменные службы Active Directory» для установки и следуйте инструкциям для завершения установки;
в) Запустите "dcpromo", запустите мастер установки контроллера домена и следуйте инструкциям, чтобы завершить установку, и выберите Windows 2008. Имя корневого домена леса будет использоваться при добавлении домен локального компьютера. Пароль будет использоваться при запуске этого контроллера домена в режиме восстановления служб каталогов.
д) Выберите «Веб-сервер (IIS)» и «Службы сертификации Active Directory» для установки, следуйте инструкциям для завершения установки.
Нажмите «Далее», выберите Центр сертификации и Веб-регистрация центра сертификации;
Выберите «Предприятие» и нажмите «Далее»;
Выберите «Корневой ЦС » и нажмите «Далее»;
Выберите «Создать новый закрытый ключ», нажмите «Далее»;
В окне «Настроить криптографию для CA » настройте следующим образом, нажимайте «Далее», пока не появится «Подтвердить выбор установки»;
В окне «Настроить имя CA» общее имя для этого CA по умолчанию - server-WIN-BP8PSK12IOH-CA .
e) Выберите «Службы сетевой политики и доступа» для установки и нажмите «Далее». В окне «Выбор служб ролей» настройте следующим образом. Нажимайте «Далее», пока установка не будет завершена.
Использование смарт-карт для входа в Windows - управление сертификатами смарт-карт
Чтобы пользователи смарт-карт могли входить в систему Windows Workstation, рабочая станция должна сначала выдать пользователям сертификат смарт-карты. Сертификат смарт-карты - это цифровой сертификат, хранящийся на смарт-карте пользователя. Действия следующие:
1> В окне « Диспетчер серверов » выберите « Роли-> Службы сертификации Active Directory -> сервер-WIN-BP8PSK12IOH-CA -> Шаблоны сертификатов », щелкните правой кнопкой мыши параметр « Шаблоны сертификатов ». Во всплывающем меню выберите «Создать -> Шаблон сертификата для выдачи».
Затем появится диалоговое окно «Включить шаблоны сертификатов», выберите «Вход со смарт-картой», «Пользователь смарт- карты», «Агент регистрации (компьютер)», «Агент регистрации», нажмите OK .
После добавления шаблонов вернитесь в окно «Диспетчер серверов», и там появится новый созданный вами шаблон.
2> Откройте диспетчер IIS и выберите « Сертификат сервера » в корневом каталоге:
Выберите настроенный ЦС, нажмите «Создать самоподписанный сертификат» на правой боковой панели, введите имя сертификата (например, JAVACARD_CA), нажмите «ОК».
Выберите веб-сайт по умолчанию, а затем нажмите «Привязки» на правой боковой панели. Во всплывающем диалоговом окне «Привязки сайта» нажмите «Добавить». Выберите «https» в поле «Тип» в диалоговом окне «Добавить привязку сайта» и установите SSLCertificate в качестве имени сертификата, нажмите «ОК». На данный момент установлен протокол https.
Вы должны подготовить смарт-карту, создав соответствующие учетные данные, прежде чем использовать ее для входа на компьютер.
Использование смарт-карт для входа в Windows - подайте заявку на управление сертификатами смарт-карт
Подать заявку на управление сертификатом смарт-карты
1> Вставьте eJavaToken в компьютер (убедитесь, что апплет PKI уже находится в eJavaToken).
2> Откройте Internet Explorer, введите URL-адрес, который используется для выдачи сертификата смарт-карты (например,https: //*.*.*.*/certsrv/certrqma.asp), нажмите Ввод.
3> На странице «Расширенный запрос сертификата» выберите «Пользователь смарт-карты» для параметра шаблона сертификата, выберите «EnterSafe ePass2003 CSP v1.0» для параметра CSP, затем нажмите «Отправить».
4> Следуйте инструкциям, выберите «Установить этот сертификат» и нажмите «ОК», пока сертификат не будет успешно установлен.
5> После успешной загрузки и установки сертификата вы можете просмотреть этот сертификат или подать заявку на получение нового. А также пользователь может войти в систему с помощью смарт-карты.
Вход со смарт-картой работает только для компьютеров, которые присоединены к домену.
Использование смарт-карт для входа в Windows - Используйте eJavaToken для входа на локальный компьютер
1. Добавьте учетную запись пользователя в службу домена.
Перед входом на локальный компьютер с помощью смарт-карты создайте учетную запись пользователя в службе домена. Затем добавьте пользователей, принадлежащих компьютеру, в домен.
1> Выберите «Диспетчер сервера -> Роли -> Доменные службы Active Directory -> Пользователи и компьютеры Active Directory -> server.javacardos.com -> Пользователь», щелкните правой кнопкой мыши и выберите «Создать -> Пользователь». Во всплывающем окне «Новый объект –Пользователь» введите имя пользователя для создания (например, тестового) и установите пароль.
2> После успешного добавления учетной записи пользователя вы можете просмотреть ее в списке пользователей. Щелкните правой кнопкой мыши учетную запись пользователя и выберите в меню «Свойства», чтобы изменить разрешения и атрибуты пользователя, как показано на рисунке.
2. Используйте eJavaToken для входа на локальный компьютер.
Добавьте компьютер в домен, прежде чем использовать eJavaToken для входа в систему. Возьмем, к примеру, Windows 7 Professional.
1> Щелкните правой кнопкой мыши «Мой компьютер», выберите «Свойства» в меню, затем щелкните вкладку «Имя компьютера», нажмите кнопку «Изменить», появится диалоговое окно «Изменение имени компьютера / домена».
2> Введите имя домена (например, server.javacardos.com) в поле «Домен» в столбце «Член», нажмите «ОК». Введите имя пользователя и пароль во всплывающем диалоговом окне и перезагрузите компьютер.
Примечание: Если не удалось добавить домен на шаге 1-2, измените DNS компьютера и повторите попытку.
3> Когда вы снова войдете на экран входа в систему, вам будет предложено вставить eJavaToken, который подал заявку на сертификат смарт-карты, следуйте инструкциям по вставке eJavaToken и введите PIN-код eJavaToken для входа в систему Windows.
Использование смарт-карт для входа в Windows - Используйте eJavaToken для входа на локальный компьютер
1. Добавьте учетную запись пользователя в службу домена.
Перед входом на локальный компьютер с помощью смарт-карты создайте учетную запись пользователя в службе домена. Затем добавьте пользователей, принадлежащих компьютеру, в домен.
1> Выберите «Диспетчер сервера -> Роли -> Доменные службы Active Directory -> Пользователи и компьютеры Active Directory -> server.javacardos.com -> Пользователь», щелкните правой кнопкой мыши и выберите «Создать -> Пользователь». Во всплывающем окне «Новый объект –Пользователь» введите имя пользователя для создания (например, тестового) и установите пароль.
2> После успешного добавления учетной записи пользователя вы можете просмотреть ее в списке пользователей. Щелкните правой кнопкой мыши учетную запись пользователя и выберите в меню «Свойства», чтобы изменить разрешения и атрибуты пользователя, как показано на рисунке.
2. Используйте eJavaToken для входа на локальный компьютер.
Добавьте компьютер в домен, прежде чем использовать eJavaToken для входа в систему. Возьмем, к примеру, Windows 7 Professional.
1> Щелкните правой кнопкой мыши «Мой компьютер», выберите «Свойства» в меню, затем щелкните вкладку «Имя компьютера», нажмите кнопку «Изменить», появится диалоговое окно «Изменение имени компьютера / домена».
2> Введите имя домена (например, server.javacardos.com) в поле «Домен» в столбце «Член», нажмите «ОК». Введите имя пользователя и пароль во всплывающем диалоговом окне и перезагрузите компьютер.
Примечание: Если не удалось добавить домен на шаге 1-2, измените DNS компьютера и повторите попытку, как показано на рисунке.
3> Когда вы снова войдете на экран входа в систему, вам будет предложено вставить eJavaToken, который подал заявку на сертификат смарт-карты, следуйте инструкциям по вставке eJavaToken и введите PIN-код eJavaToken для входа в систему Windows.
Использование смарт-карт для входа в Windows
- Предисловие
1. Кража и потеря конфиденциальных данных
2. Отсутствие пароля и повышение безопасности - Подготовка
- Использование
1. Настройте среду управления сертификатами смарт-карт.
2. Выпустить управление сертификатом смарт-карты.
3. Подать заявку на управление сертификатом смарт-карты.
4. Выпустить управление сертификатом смарт-карты.
5. Используйте eJavaToken для входа на локальный компьютер.
В этой статье показано, как зарегистрировать и выдать пользователю сертификат входа со смарт-картой Windows с помощью eJavaToken.
Предисловие
1. Кража и потеря конфиденциальных данных.
Исследования показывают, что ноутбук крадут каждую минуту, а 97% из них никогда не восстанавливаются. Хотя потерянный компьютер можно измерить деньгами, потеря документов, данных управления проектом, личных данных и контактных данных может оказаться гораздо более ценным. То же самое и с настольными ПК. Хотя аутентификация на основе смарт-карт не может предотвратить кражу в первую очередь, она может остановить множество попыток чтения личных данных, а также может помочь предотвратить «утечку» сообщений.
2. Отсутствие пароля и повышение безопасности.
Исследования показали, что среднестатистический человек не может запомнить более 6 случайных чисел или букв, если они не сохранены в памяти, но для организаций обычно требуются пароли из 8 символов, которые могут часто меняться. К сожалению, люди, вынужденные использовать пароли, часто склонны выбирать либо очень простые (которые легко угадать), либо иначе они часто записывают их. Многие также используют один и тот же пароль для всего.
Общеизвестно, что лучший вариант повышения безопасности помимо использования имени пользователя и пароля - это объединить «то, что у вас есть» с «тем, что вы знаете». Это называется двухфакторной аутентификацией, и тот же принцип используется для защиты транзакций с чипом и PIN-кодом. Везде, где используется аутентификация пользователей, жизненно важно, чтобы только правильные люди могли получить доступ к информации, которую они имеют право просматривать. Используя смарт-карты, мы можем повысить уровень безопасности аутентификации и в то же время улучшить взаимодействие с пользователем.
Подготовка
1. eJavaToken (убедитесь, что апплет PKI уже загружен).
2. ПК с Windows server 2008 (используется для настройки сервера домена).
Использование
1. Настройте среду управления сертификатами смарт-карт.
Основная задача этого этапа - настроить среду управления CA в Windows server 2008. Он содержит добавление некоторых ролей из управления сервером, таких как DNS- сервер, доменные службы Active Directory, «Веб-сервер (IIS)», «Службы сертификатов Active Directory» и так далее.Настройка среды управления сертификатами смарт-карт
Необходимо Настроить Windows 2008 CA.
1) Установите Windows Server 2008 Enterprise Edition
2) Добавьте роли:
выберите «Пуск-> Диспетчер сервера-> роли», нажмите «Добавить роли», запустите «Мастер добавления ролей» и установите необходимые роли сервера:
a) Выберите «DNS-сервер». Для установки и следуйте инструкциям, чтобы завершить установку;
б) Выберите «Доменные службы Active Directory» для установки и следуйте инструкциям для завершения установки;
в) Запустите "dcpromo", запустите мастер установки контроллера домена и следуйте инструкциям, чтобы завершить установку, и выберите Windows 2008. Имя корневого домена леса будет использоваться при добавлении домен локального компьютера. Пароль будет использоваться при запуске этого контроллера домена в режиме восстановления служб каталогов.
д) Выберите «Веб-сервер (IIS)» и «Службы сертификации Active Directory» для установки, следуйте инструкциям для завершения установки.
Нажмите «Далее», выберите Центр сертификации и Веб-регистрация центра сертификации;
Выберите «Предприятие» и нажмите «Далее»;
Выберите «Корневой ЦС » и нажмите «Далее»;
Выберите «Создать новый закрытый ключ», нажмите «Далее»;
В окне «Настроить криптографию для CA » настройте следующим образом, нажимайте «Далее», пока не появится «Подтвердить выбор установки»;
В окне «Настроить имя CA» общее имя для этого CA по умолчанию - server-WIN-BP8PSK12IOH-CA .
e) Выберите «Службы сетевой политики и доступа» для установки и нажмите «Далее». В окне «Выбор служб ролей» настройте следующим образом. Нажимайте «Далее», пока установка не будет завершена.
2. Выпустить управление сертификатом смарт-карты.
Чтобы пользователи смарт-карт могли входить в систему на рабочей станции Windows, рабочая станция должна в первую очередь выдавать пользователям сертификат смарт-карты. Сертификат смарт-карты - это цифровой сертификат, хранящийся на смарт-карте пользователя.Использование смарт-карт для входа в Windows - управление сертификатами смарт-карт
Чтобы пользователи смарт-карт могли входить в систему Windows Workstation, рабочая станция должна сначала выдать пользователям сертификат смарт-карты. Сертификат смарт-карты - это цифровой сертификат, хранящийся на смарт-карте пользователя. Действия следующие:
1> В окне « Диспетчер серверов » выберите « Роли-> Службы сертификации Active Directory -> сервер-WIN-BP8PSK12IOH-CA -> Шаблоны сертификатов », щелкните правой кнопкой мыши параметр « Шаблоны сертификатов ». Во всплывающем меню выберите «Создать -> Шаблон сертификата для выдачи».
Затем появится диалоговое окно «Включить шаблоны сертификатов», выберите «Вход со смарт-картой», «Пользователь смарт- карты», «Агент регистрации (компьютер)», «Агент регистрации», нажмите OK .
После добавления шаблонов вернитесь в окно «Диспетчер серверов», и там появится новый созданный вами шаблон.
2> Откройте диспетчер IIS и выберите « Сертификат сервера » в корневом каталоге:
Выберите настроенный ЦС, нажмите «Создать самоподписанный сертификат» на правой боковой панели, введите имя сертификата (например, JAVACARD_CA), нажмите «ОК».
Выберите веб-сайт по умолчанию, а затем нажмите «Привязки» на правой боковой панели. Во всплывающем диалоговом окне «Привязки сайта» нажмите «Добавить». Выберите «https» в поле «Тип» в диалоговом окне «Добавить привязку сайта» и установите SSLCertificate в качестве имени сертификата, нажмите «ОК». На данный момент установлен протокол https.
3. Подать заявку на управление сертификатом смарт-карты
Как правило, смарт-карта должна содержать сертификат и соответствующий закрытый ключ. Сертификат содержит информацию о пользователе, используемую для идентификации пользователя. При входе в систему с помощью смарт-карты вы должны ввести PIN-код смарт-карты вместо обычного пароля.Вы должны подготовить смарт-карту, создав соответствующие учетные данные, прежде чем использовать ее для входа на компьютер.
Использование смарт-карт для входа в Windows - подайте заявку на управление сертификатами смарт-карт
Подать заявку на управление сертификатом смарт-карты
1> Вставьте eJavaToken в компьютер (убедитесь, что апплет PKI уже находится в eJavaToken).
2> Откройте Internet Explorer, введите URL-адрес, который используется для выдачи сертификата смарт-карты (например,https: //*.*.*.*/certsrv/certrqma.asp), нажмите Ввод.
3> На странице «Расширенный запрос сертификата» выберите «Пользователь смарт-карты» для параметра шаблона сертификата, выберите «EnterSafe ePass2003 CSP v1.0» для параметра CSP, затем нажмите «Отправить».
4> Следуйте инструкциям, выберите «Установить этот сертификат» и нажмите «ОК», пока сертификат не будет успешно установлен.
5> После успешной загрузки и установки сертификата вы можете просмотреть этот сертификат или подать заявку на получение нового. А также пользователь может войти в систему с помощью смарт-карты.
4. Выпустить управление сертификатом смарт-карты
Как правило, существующая сетевая инфраструктура клиентских и серверных ПК может быть защищена независимо от того, основаны ли они на специальном «рабочем групповом» или централизованном «доменном» управлении, поскольку основная система входа в систему с использованием имени пользователя и пароля остается неизменной. Программное обеспечение для входа со смарт-картой просто изменяет стандартное окно входа в Windows и добавляет возможность извлекать эти данные с карты (при условии правильного ввода ПИН-кода), а затем отправлять их автоматически.Вход со смарт-картой работает только для компьютеров, которые присоединены к домену.
Использование смарт-карт для входа в Windows - Используйте eJavaToken для входа на локальный компьютер
1. Добавьте учетную запись пользователя в службу домена.
Перед входом на локальный компьютер с помощью смарт-карты создайте учетную запись пользователя в службе домена. Затем добавьте пользователей, принадлежащих компьютеру, в домен.
1> Выберите «Диспетчер сервера -> Роли -> Доменные службы Active Directory -> Пользователи и компьютеры Active Directory -> server.javacardos.com -> Пользователь», щелкните правой кнопкой мыши и выберите «Создать -> Пользователь». Во всплывающем окне «Новый объект –Пользователь» введите имя пользователя для создания (например, тестового) и установите пароль.
2> После успешного добавления учетной записи пользователя вы можете просмотреть ее в списке пользователей. Щелкните правой кнопкой мыши учетную запись пользователя и выберите в меню «Свойства», чтобы изменить разрешения и атрибуты пользователя, как показано на рисунке.
2. Используйте eJavaToken для входа на локальный компьютер.
Добавьте компьютер в домен, прежде чем использовать eJavaToken для входа в систему. Возьмем, к примеру, Windows 7 Professional.
1> Щелкните правой кнопкой мыши «Мой компьютер», выберите «Свойства» в меню, затем щелкните вкладку «Имя компьютера», нажмите кнопку «Изменить», появится диалоговое окно «Изменение имени компьютера / домена».
2> Введите имя домена (например, server.javacardos.com) в поле «Домен» в столбце «Член», нажмите «ОК». Введите имя пользователя и пароль во всплывающем диалоговом окне и перезагрузите компьютер.
Примечание: Если не удалось добавить домен на шаге 1-2, измените DNS компьютера и повторите попытку.
3> Когда вы снова войдете на экран входа в систему, вам будет предложено вставить eJavaToken, который подал заявку на сертификат смарт-карты, следуйте инструкциям по вставке eJavaToken и введите PIN-код eJavaToken для входа в систему Windows.
5. Используйте eJavaToken для входа на локальный компьютер
Если вы введете неправильный PIN-код для смарт-карты несколько раз подряд, вы не сможете войти в систему с помощью этой смарт-карты. Количество допустимых недействительных попыток входа в систему до блокировки зависит от производителя смарт-карты. Обратитесь к своему администратору за помощью.Использование смарт-карт для входа в Windows - Используйте eJavaToken для входа на локальный компьютер
1. Добавьте учетную запись пользователя в службу домена.
Перед входом на локальный компьютер с помощью смарт-карты создайте учетную запись пользователя в службе домена. Затем добавьте пользователей, принадлежащих компьютеру, в домен.
1> Выберите «Диспетчер сервера -> Роли -> Доменные службы Active Directory -> Пользователи и компьютеры Active Directory -> server.javacardos.com -> Пользователь», щелкните правой кнопкой мыши и выберите «Создать -> Пользователь». Во всплывающем окне «Новый объект –Пользователь» введите имя пользователя для создания (например, тестового) и установите пароль.
2> После успешного добавления учетной записи пользователя вы можете просмотреть ее в списке пользователей. Щелкните правой кнопкой мыши учетную запись пользователя и выберите в меню «Свойства», чтобы изменить разрешения и атрибуты пользователя, как показано на рисунке.
2. Используйте eJavaToken для входа на локальный компьютер.
Добавьте компьютер в домен, прежде чем использовать eJavaToken для входа в систему. Возьмем, к примеру, Windows 7 Professional.
1> Щелкните правой кнопкой мыши «Мой компьютер», выберите «Свойства» в меню, затем щелкните вкладку «Имя компьютера», нажмите кнопку «Изменить», появится диалоговое окно «Изменение имени компьютера / домена».
2> Введите имя домена (например, server.javacardos.com) в поле «Домен» в столбце «Член», нажмите «ОК». Введите имя пользователя и пароль во всплывающем диалоговом окне и перезагрузите компьютер.
Примечание: Если не удалось добавить домен на шаге 1-2, измените DNS компьютера и повторите попытку, как показано на рисунке.
3> Когда вы снова войдете на экран входа в систему, вам будет предложено вставить eJavaToken, который подал заявку на сертификат смарт-карты, следуйте инструкциям по вставке eJavaToken и введите PIN-код eJavaToken для входа в систему Windows.
