Назад | Перейти на главную страницу

Windows SmartCard для общих рабочих станций

У нас есть рабочая станция Windows x64, которая управляет специальным оборудованием, критически важным для нашей работы. Эта рабочая станция имеет только несколько обученных операторов, которые «знают», как с ней работать. Однако он работает под управлением Windows, и это оказалось обнадеживающим для тех, кто не обучен работе с рабочей станцией, чтобы возиться, что, очевидно, вызывает проблемы.

Мы обсудили, как решить эту проблему, и несколько учетных записей пользователей не подходят. Лучшее, что мы придумали, - это какая-то функциональность SmartCard. Смарт-карты для меня впервые, но, читая о них, кажется, что они привязаны к процессу входа в систему. Я ищу что-то, что заблокировало бы экран / клавиатуру / мышь, если бы смарт-карту удалили, а затем сразу разблокировал бы ее, если бы ее снова вставили. Кто-нибудь знает что-нибудь подобное?

Обновить

Спасибо за все ответы. Я действительно надеялся на пакет программного обеспечения под ключ или на какие-то предложения чего-то в этом роде.

Если вам когда-либо приходилось обновлять эту систему до более новой версии Windows, взгляните на Групповая политика смарт-карт и параметры реестра в документации Technet.

В служба политики удаления смарт-карты доступная в Windows 7, сразу же даст вам желаемую функциональность блокировки / разблокировки. Все, что вам нужно сделать, это настроить его.

Для более старых версий Windows вам потребуется дополнительное программное обеспечение для выполнения блокировки / разблокировки. На рынке представлены различные решения бесконтактной блокировки / разблокировки / входа, в которых в основном используются ключи RFID.

Я действительно реализовал это и провел обширное тестирование в отношении аутентификации SmartCard. В ссылке Сэма на статью Microsoft KB есть намеки на то, что он проверяет и как это работает: http://support.microsoft.com/kb/281245

Когда вы используете сертификат SmartCard, большую часть времени сертификат, прикрепленный к SmartCard, создается НА карте, и закрытый ключ не может быть экспортирован. Таким образом, использование одного и того же сертификата на нескольких картах может не работать, если только он не сгенерирован вне карты, а затем импортирован. Не все карты позволяют импортировать ключ таким образом. Однако вы можете выдать несколько сертификатов для входа в одну и ту же учетную запись. Все, что вам нужно убедиться, это совпадение UPN на всех сертификатах, даже если сертификаты не совпадают.

Благодаря опыту и некоторым статьям technet / MSDN, Microsoft Active Directory проверяет следующие параметры, чтобы убедиться, что они верны для разрешения доступа на основе сертификата, предоставленного смарт-картой:

  1. Является ли выдающий центр сертификации надежным для подтверждения входа в систему SmartCard?
  2. Сертификат ЦС, выдавший сертификат, действителен (не просрочен, не отозван)?
  3. Выдан ли сертификат SmartCard надежным и действующим центром сертификации?
  4. Сертификат SmartCard действителен (не истек, не отозван)?
  5. Совпадает ли основное имя пользователя в сертификате SubjAltName с основным именем пользователя в Active Directory? Пример: joesmith@ADDomain.com
  6. Можно ли получить список отзыва сертификатов, как указано в сертификате смарт-карты и ЦС, для подтверждения статуса отзыва?
  7. Имеет ли сертификат SmartCard ключ для использования SmartCard Logon?

Если все вышеперечисленное верно, аутентификация SmartCard будет успешной.

Вы даже можете использовать одну смарт-карту для аутентификации несвязанного или ненадежного домена. Например, если пользователь с логином Windows john.doe@domainA.com выдается с сертификатом входа в систему SmartCard для john.doe@domainA.com; Джон Доу может войти в domainB.com, даже если Джейн Смит при условии, что выдающий ЦС правильно импортирован в AD доменаB как доверенный для выдачи смарт-карт, и Джейн Смитучетная запись настроена на возможность входа с john.doe@domainA.com.

Важно отметить, что формат входа в систему до Windows 2000: DOMAIN \ username не используется для аутентификации сертификатов SmartCard. Таким образом, вы можете настроить вход в систему до Windows 2000 как одно, а UPN как другое.

Наконец, из-за вышеупомянутых последствий, при более высоких настройках безопасности, практика CA чрезвычайно важна, поскольку поддельная аутентификация легко выполняется, если CA не контролируется. Как вы понимаете, ЦС, который не проверяет личность тех, кто запрашивает сертификат, может выдавать дубликаты сертификатов, которые позволяют другим выдавать себя за конкретного человека.

Вы рассматривали биометрию? Считыватель отпечатков пальцев, как правило, позволяет создавать 5 или 10 отпечатков пальцев на одну учетную запись пользователя (по одному на каждый палец) или теоретически 5-10 человек для одной учетной записи (просто отсканируйте палец каждого человека в другое место).

Это не сработает, если он находится в промышленном помещении - считыватель испачкается, пальцы будут грязными, сажей, пылью - все это плохо для биометрии. И это тоже не совсем надежный вариант (по этому поводу был отличный эпизод из «Разрушителей легенд»), но он должен держать в стороне честных пользователей.

Я также видел блестящую систему на TradeLink из всех мест (жаль, что это не помешало им испортить наш порядок).

Они имели Тонкие клиенты Sun со смарт-картами. Каждый раз, когда они вскакивали из-за стола и брали с собой карточку, сеанс блокировался. Вставьте его обратно, и сеанс будет разблокирован.

Конечно, будучи тонким клиентом, это означает, что он полагается на сервер терминалов, и я предполагаю, что, учитывая чувствительность вашего оборудования, это было бы непрактично, но если оно существует на уровне тонкого клиента, я уверен, что будет продукт, который также работает с традиционными настольными компьютерами.

Ссылка на вход со смарт-картой находится в следующих ссылках:

http://support.microsoft.com/kb/281245

http://technet.microsoft.com/en-us/library/dd277386.aspx

Вы также можете периодически менять пароль и угрожать авторизованным операторам, чтобы они его не выдали. Конечно, это может не работать с критически важным программным обеспечением.

Почему бы не выпустить единый сертификат для пользователя в вашем домене и предоставить несколько смарт-карт с этим единым сертификатом? Это позволит нескольким картам использовать одну и ту же личность, что вам и нужно (если я правильно понял). Смарт-карты действительно требуют определенного уровня функциональности домена и, возможно, инфраструктуры PKI. Если у вас его нет, вы можете посмотреть некоторые продукты, которые позволят вам добиться чего-то подобного.