Двухфакторная аутентификация пользователей - eToken

Чем выше ценность информации, к которой есть доступ у пользователя, тем лучше эта информация защищена. По крайней мере, так должно быть. На практике же сплошь и рядом в сфере разграничения прав пользователей - полный бардак. Первый шаг по наведению порядка назначение каждому пользователю уникальной учётной записи в системе, и устранение возможности входа в систему под чужим именем. Сначала говорим пользователям убрать пустые пароли (если на этот момент они ещё не запрещены политикой), и пользователи с честными лицами выставляют пароли типа "1234" или "год рождения". Затем назначаем политикой требования к сложности паролей (скажем, шесть символов, обязательно наличие разных регистров - скажем, aB1234) - пользователи как по команде пишут пароли на листочках и лепят на мониторы. Этим исчерпываются возможности метода "что я знаю" для аутентификации пользователей. Другой вариант - использовать метод "что у меня есть" - отпечаток пальца, сетчатка глаза (что пока слишком экзотично), или некоторое устройство. Примером такого устройства являются продукты семейства eToken российской компании Aladdin.

Ещё эффективнее сочетание двух методов - "у меня есть токен" и "я знаю пин-код". С точки зрения пользователя вход в систему выглядит следующим образом: после загрузки пользователь просто подключает к USB-порту компьютера токен, затем вводит пин-код. С точки же зрения производителя воплотить эту "простоту" в жизнь - нетривиальная задача, ведь необходимо исключить возможность перехвата любых используемых при аутентификации данных на любом из этапов. В лучшем для злоумышленника случае он завладеет сертификатом входа пользователя, хранящемся в защищённой области токена. Хотя и пин-код - тоже ничего, если удастся затем завладеть чужим токеном.

Токены можно использовать не только для организации безопасного входа в систему, но и в целях блокировки компьютера во время отсутствия пользователя. Наиболее просто это сделать в организациях, применяющих RFID-метки для открывания замков на дверях. Нужно просто заказать токены со встроенной меткой. В этом случае пользователь, отходя от своего компьютера, вынужден будет забрать токен с собой, что автоматически приведёт к блокировке рабочей станции (при соответствующей настройке групповой политики).

Итак, для организации входа в домен с помощью токена необходимо:

  • Развернуть центр сертификации на контроллере домена;
  • Установить бесплатный комплект ПО токена (eToken PKI client) на машины пользователей;
  • Произвести инициализацию токенов;
  • Произвести конфигурацию токенов.


При организации входа в рамках рабочей группы необходимо:

  • Приобрести ПО eToken Windows Logon (лицензия стоит порядка 300 рублей на организацию);
  • Установить бесплатный комплект ПО токена (eToken PKI client), eToken Windows Logon на машины пользователей;
  • Произвести инициализацию токенов;
  • Сконфигурировать токен для входа на каждой отдельной машине (конфигурация будет действительна только для этой машины).

Развёртывание центра сертификации.

Центр сертификации входит в состав Windows 2k, 2k3 Server, и устанавливается через оснастку "Add/Remove Programs" панели управления. Требуется также установленный IIS. При установке выбираем опцию "Enterprise root CA" (Корневой ЦС предприятия), и указываем данные о своей организации. Затем входим в оснастку ЦС, и добавляем недостающие шаблоны сертификатов (нам нужны "Агент подачи заявок" - "Enrollment agent" и "Пользователь со смарт-картой" - "Smart-card user").

ЦС-шаблоны

При развёртывании ЦС на Windows 2000 Server требуется исправить ошибку, допущенную разработчиками. В файле %windir%system32/certsrv/certrqma.asp. Чтобы её исправить, нужно в строке определения переменной var L_TemplateCert_Text="/" Сертификат/"+sTemplate+/"" удалить три лишние символа +/" (спасибо walker c форума windowsfaq.ru)

Установка ПО на клиентские машины

Скачиваем продукт eToken PKI client с сайта производителя. Для этого заходим в раздел загрузки. Внимание! Не следует пользоваться продуктом RTE - это устаревшая версия, формат криптоконтейнера токена которой не совместим с новой веткой PKI client. У первой версии PKI client (4.5) были небольшие глюки (мелочи, связанные с интерфейсом, а также утечка памяти при развёрнутом интерфейсе), что не мешало использовать её в полном обьёме. Установка продукта не вызывает проблем. Фактически, необходимо лишь выбрать язык пользовательского интерфейса. Формат инсталляционного пакета (msi) позволяет произвести удалённую установку продукта на множестве машин домена. В рабочей группе необходимо также установить eToken WinLogon

Инициализация токенов.

Инициализация выполняется при помощи eToken PKI client. Шёлкаем правой кнопкой по значку приложения в системном трее, и выбираем опцию "Открыть свойства eToken". В открывшемся окне нажимаем "Дополнительно", после чего в дереве элементов выбираем подключенный к компьютеру токен, и в контекстном меню нажимаем "Форматировать".

инициализация eToken

Можно также нажать кнопку "Инициализация eToken". В открывшемся окне вводим имя токена (я применяю нотификацию ПОДРАЗДЕЛЕНИЕ_ОТДЕЛ_ИНИЦИАЛЫ), пин-код пользователя, количество попыток неудачного ввода пин-кода до блокировки устройства. Необходимо также ввести административный пароль, который, не позволяя войти под именем пользователя, позволит тем не менее разблокировать токен или произвести его повторную инициализацию. Административный пароль (чем длиннее, тем лучше) можно задать одинаковым для всех токенов.

опции инициализации eToken

Конфигурация токенов для домена.

Конфигурация для домена подразумевает размещение сертификата X.509 пользователя в защищённой памяти токена. Для этого выполняем ряд действий:
1. Входим на центр сертификации. Для этого открываем IE и в адресной строке вводим https://Адрес-сервера/Certsrv.
2. Добавляем ЦС в доверенную зону IE (потребуется загрузка и установка ActiveX-приложения с ЦС).
3. Используя форму, запрашиваем и устанавливаем на наш (используемый для конфигурации) компьютер сертификат агента подачи заявок.
4. Выбираем опцию "Выдать сертификат, используя агент подачи заявок", после чего видим следующее:
5. Вводим все необходимые данные: выбираем шаблон "пользователь со смарт-картой", указываем агента - один раз, выбираем конечного пользователя и криптопровайдер - eToken CSP. Затем нажимаем кнопку "выдать запрос".
6. По запросу вводим пин-код токена и ждём окна об успешном завершении операции.

Всё, можно выдавать токен пользователю. Токен будет действителен для входа на любой машине домена.

Конфигурация токена для рабочей группы.

Приложение WinLogon заменяет стандартную библиотеку интерфейса входа в windows msgina.dll.

Windows Logon GINA

Конфигурация для рабочей группы подразумевает создание в защищённой памяти токена "профиля пользователя", включающего пароль аккаунта windows для входа в систему. Конфигурирование токенов для их использования в рабочей группе необходимо производить непосредственно на той машине, для входа на которую этот токен будет применяться.

Открываем менеджер профилей «Программы-eToken-eToken Windows Logon-Profile Creation Wizard», нажимаем «Далее». В следующем окне необходимо выбрать имена пользователя в системе и компьютера в сети, для которых будет действителен данный токен. Если компьютер входит в домен, то список «Log on to» будет состоять из двух пунктов, с пунктом соответствующим имени домена для входа в домен, и имени компьютера в сети — для локального входа в систему. В следующем окне необходимо выбрать тип аутентификации — однофакторную (для входа в систему достаточно вставить токен) или двухфакторную (дополнительно необходимо набрать пин-код токена). Затем необходимо указать пароль, который будет сохранён в памяти токена, и предъявлен системе при загрузке для имени пользователя, указанного для первого шага. В данном окне также существует возможность замены текущего пароля пользователя автоматически сгенерированным программой (длина пароля регулируется). В зависимости от того, под каким пользователем запущен мастер, может потребоваться ввод текущего пароля пользователя в системе. После ввода пароля нужно нажать кнопку «Далее», а в следующем окне - «Готово».
В открывшемся окне необходимо выбрать токен, на который будет записан профиль Windows Logon и ввести пин-код данного токена, после чего нажать кнопку «ОК».

Примечания:

  • Применять eToken для входа на гостевую машину VMWare не получится - защита драйвера токена (а может и глюк, но полезный и правильный) не позволяет вклиниться какому либо ПО между собой и физическим устройсвом.
  • В домене необходимо выставить две опции групповой политики: "требовать смарт-карту для входа - да" и "поведение при извлечении смарт-карты - блокировка системы".
  • В случае, если у вас нет RFID-замков, спасти положение может пятидесятикопеечное кольцо для ключей, закреплённое на токене. Просто токен практически со стопроцентной гарантией будет валяться в ящике стола, рядом с компьютером.
  • На сайте производителя есть подборка статей по продукту.
  • В случае, если в компании нет культуры обеспечения безопасности, никакие токены не помогут. Если же такая культура есть, то вполне можно обойтись и без токенов. Суть в тех вариантах, что находятся где-то посередине.
Вы здесь: Home Администратору Двухфакторная аутентификация пользователей - eToken
BLOG COMMENTS POWERED BY DISQUS