doi factori de autentificare a utilizatorilor - eToken - adminskie skazki

Cu cât valoarea informațiilor la care utilizatorul are acces la acestea, cu atât mai bine informațiile sunt protejate. Cel puțin ar trebui să fie. În practică, foarte des în zona de demarcare a drepturilor utilizatorilor - o mizerie. Primul pas pentru a restabili ordinea de atribuire unic pentru fiecare cont de utilizator pe sistem și eliminând posibilitatea de logare sub un nume fals. În primul rând, ne spune utilizatorilor să elimine parolele goale (în cazul în care în acest moment nu au interzis încă politica), iar utilizatorii cu persoane oneste expune parole cum ar fi „1234“ sau „Anul nașterii“. Apoi, atribuiți cerințele de politică pentru o parolă de complexitate (de exemplu, șase caractere, trebuie să aibă registre diferite - de exemplu, aB1234) - utilizatorii ca o echipa scrie parolele pe bucăți de hârtie și mucegai pe monitoare. Aceasta epuizează posibilitățile metodei, „Eu știu“, pentru a autentifica utilizatorii. O altă opțiune - utilizează metoda „pe care am“ - amprenta, retinei (este prea exotic), sau un dispozitiv. Un exemplu de astfel de dispozitiv sunt o familie de produse eToken companie romaneasca Aladdin.

Indicativele pot fi utilizate nu numai pentru intrarea în condiții de siguranță în organizație, dar, de asemenea, pentru a bloca computerul în timp ce utilizatorul este departe. Cele mai multe pur și simplu face acest lucru în organizațiile care folosesc RFID-tag-ul pentru a deschide încuietorile de pe uși. Trebuie doar să comandați token-uri cu eticheta built-in. În acest caz, utilizatorul, lăsând computerul va fi obligat să ridice jetonul cu ei, ceea ce va duce automat la blocarea postului de lucru (cu setarea adecvată pentru politica de grup).

Deci, pentru a intra în organizație în domeniu folosind token-ul trebuie să fie:

• Deschideți autoritatea de certificare pe un controler de domeniu;
• Instalați token-ul Free Software (eToken PKI client) pe computerele utilizatorilor;
• Inițializa jetoane;
• Efectuați token-uri de configurare.

În cazul în care intrarea este organizarea grupului de lucru ar trebui:

• Achiziționat pentru eToken pentru Windows Logon (licență costă aproximativ 300 de ruble pentru organizație);
• Instalați token-ul Free Software (eToken PKI client), utilizatorul eToken pentru Windows Logon pe mașină;
• Inițializa jetoane;
• Configurarea token-ul pentru a vă conecta la fiecare mașină în parte (configurație va fi valabil numai pentru această mașină).

Implementarea CA.

Instalarea software-ului pe calculatoarele client

Descărcați produsul client eToken PKI de la producător. Pentru a face acest lucru, mergeți la secțiunea de descărcare. Atenție! Nu trebuie să utilizați produsul RTE - aceasta este o versiune veche, formatul care kriptokonteynera jeton nu este compatibil cu noul client ramură PKI. În prima versiune a PKI client (4.5) au fost scapari mici (amenzi asociate cu interfața, și o scurgere de memorie atunci când interfața nepliată), care nu a împiedicat să-l folosească în volum maxim de. Instalarea produsului nu cauzează probleme. De fapt, trebuie doar să selectați limba de interfață de utilizator. Formatul pachetului de instalare (MSI) vă permite să faceți instalarea produsului la distanță pe setul de mașini de domeniu. Într-un grup de lucru, trebuie să instalați, de asemenea, eToken winlogon

token-uri de inițializare.

Inițializarea se realizează cu ajutorul clientului eToken PKI. Silk, faceți clic dreapta pe pictograma aplicației din tava de sistem și selectați opțiunea „Proprietăți deschise eToken“. În fereastra care se deschide, faceți clic pe „Advanced“ și apoi selectați elementele din arbore conectat la un token PC, și faceți clic pe „Format“ din meniul contextual.

Puteți apăsa de asemenea, „eToken Inițializare“. În fereastra care se deschide, introduceți numele jeton (folosesc PODRAZDELENIE_OTDEL_INITSIALY de notificare), PIN-ul de utilizator, numărul de încercări nereușite de a introduce un cod PIN pentru a bloca dispozitivul. Trebuie să introduceți, de asemenea, o parolă administrativă, care nu este permis să introduceți un nume de utilizator, cu toate acestea, permite deblocarea jeton sau a face sa re-initializare. Parola administrativă (cu atât mai mult, cu atât mai bine), puteți seta aceeași pentru toate token-uri.

Configurarea jetoanele pentru un domeniu.

Toate utilizatorul poate emite un token. Indicativul va fi valabil pentru a vă conecta la orice mașină de domeniu.

Configurare grup de lucru jeton.

cerere Winlogon înlocuiește interfața standard de intrare de bibliotecă în Windows msgina.dll.

Deschideți Profile Manager „Program-eToken-eToken pentru Windows Logon-creare profil» Wizard, faceți clic pe "Next". În fereastra următoare puteți alege numele de utilizator în sistem și rețeaua de calculatoare pentru care token-ul va fi valabil. În cazul în care computerul este într-un domeniu, o listă de «log on» va consta din două puncte, paragraful relevant al numelui de domeniu pentru a introduce numele de domeniu și numele computerului în rețea - pentru a vă conecta pe plan local. În fereastra următoare puteți alege tipul de autentificare - one-way (să vă conectați pentru a insera token-ul este suficient) sau cu doi factori (în plus trebuie să formați codul PIN jeton). Apoi, trebuie să specificați o parolă care va fi stocat în memoria de token-ul, și a prezentat sistemul de la boot pentru numele de utilizator specificat pentru primul pas. În această fereastră, există, de asemenea, posibilitatea de a înlocui parola utilizatorului curent este generat automat de program (lungimea parolei este reglabil). În funcție de modul în care un utilizator care rulează expertul, poate fi necesar să introduceți parola curentă a utilizatorului în sistem. După introducerea parolei, trebuie să apăsați butonul „Next“, iar în următoarea fereastră - „Finish“.
În fereastra trebuie să selectați token-ul, care va fi scris profil pentru Windows Logon și introduceți codul PIN al token-ul, și apoi faceți clic pe „OK“.

Comentarii: