Хардуерно базирано удостоверяване на USB ключове в Windows XP
В момента все повече и повече, че трябва да се мисли за сигурността на информацията обработвани във връзка с широк диапазон на компютри. Първата стъпка при осигуряване на законосъобразна удостоверяване на потребителя.
Най-често използваното средство за удостоверяване с помощта на парола. В допълнение, повече от 60% от потребителите, както показва практиката, често използване на една и съща парола за различни системи. Излишно е да казвам, това значително намалява нивото на сигурност. Какво да се прави?
По мое мнение, едно от решенията на проблема е да се използва ключове хардуер за удостоверяване. Ние считаме, че използването им в по-големи подробности по примера на USB ключ Аладин компанията.
Каква е eToken?
на eToken (Фигура 1.) - личен устройство за проверка на автентичността и съхранение на данни хардуерни функции с цифрови сертификати и цифров подпис (EDS). eToken произведени под формата:
eToken PRO - USB-ключ, който дава възможност за двуфакторна автентикация. Предлага се във версии 32K и 64K.
eToken NG-OTP - Hybrid USB ключ и устройство, което генерира еднократни пароли (еднократно парола, OTP). Предлага се във версии 32K и 64K.
eToken апарат Pro 64K
eToken е защитена енергонезависима памет и се използва за съхраняване на пароли, сертификати и други секретни данни.
eToken устройство
EToken компоненти PRO технологии:
Хардуерните реализират алгоритми: RSA 1024bit, DES, Triple-DES 168bit, SHA1, MAC, дребно-MAC, HMAC-SHA1;
Хардуерният генератор на случайни числа;
USB интерфейс контролер;
Корпус изработен от твърда пластмаса, която не може да бъде неоткриваем аутопсия.
В eToken NG-ОТП устройство допълнително включва следните компоненти:
OTP генератор;
бутон, за да ги генерира;
За да получите достъп до данните, съхранявани в паметта eToken, трябва да въведете ПИН-кода (персонален идентификационен номер). ПИН-кодът не се препоръчва използването на пространства и българските букви. В същото ПИН-кода, трябва да отговаря на критериите за качество, посочени в файла% SystemRoot% на \ system32 \ etcpass.ini.
Редактирайте файла, съдържащ критериите за качество на ПИН-код, като се използва инструмент eToken имоти.
eToken за права на достъп
В зависимост от модела eToken и опции са избрани по време на операцията, има четири вида права на достъп до eToken:
гост - възможност за разглеждане на обекти в областта на съхранение на открито; възможността за получаване от района на системната памет на обща информация за eToken, включително eToken име, идентификатори и някои други параметри. Когато не се изисква достъп за гости до знанието на ПИН-код;
администратор - потребителски права за промяна на ПИН-кода, без да го знаят; правото да променя паролата на администратора; правото да конфигурирате кеширане на съдържание покрита складова площ и допълнителна защита на частния ключ парола, както и способността да се предоставят на разположение на тези настройки в потребителски режим;
първоначален - правилният формат eToken PRO.
С eToken R2 включва само първите два вида права върху eToken PRO и eToken NG-OTP - всички четири.
Администраторски достъп до eToken PRO може да се направи само след правилното администраторската парола. Ако в процеса на форматиране на администраторската парола не е настроен, че е невъзможно да се справи с права на администратор.
Софтуер за eToken. Обща информация.
eToken Run Time околната среда 3.65
eToken Run Time околната среда (eToken RTE) - набор от eToken шофьори. Структурата на софтуерния пакет включва полезност "eToken имоти" (eToken Properties).
С този инструмент е възможно:
eToken конфигуриране на настройките и драйвери;
видите обща информация за eToken;
внос, да преглеждате и изтриване на сертификати (с изключение на сертификати за съхранение eTokenEx) и контейнери RSA ключ;
форматирате eToken PRO и eToken NG-ОТП;
коригиране на критериите за качество на ПИН-кодове.
За да инсталирате този софтуер, трябва да имате права на администратор на местните. Трябва да се помни, че преди да инсталирате клавиша RTE eToken eToken не може да се свърже.
инсталиране на софтуер трябва да се извършва в следния ред:
eToken RTE 3.65 RUI (русификация интерфейс);
Монтаж и демонтаж на локалния компютър eToken RTE 3.65
В прозореца на инсталационната програма, ще трябва да прочетете лицензионното споразумение и да го приеме.
Ако не сте съгласни с условията на лицензионното споразумение, натиснете "Отказ" и по този начин да прекъсне процеса на инсталиране. Ако сте съгласни с лицензионното споразумение, натиснете "Приемам лицензното споразумение" и кликнете върху бутона "Напред". На екрана ще видите следния екран:
Монтаж ще отнеме известно време. Щракнете върху бутона "Finish" в края на процеса на инсталиране.
След инсталацията, може да се наложи да рестартирате компютъра си.
Използване на командния ред
За да инсталирате и премахване на eToken RTE 3.65, eToken RTE 3.65 RUI и eToken RTX да използвате командния ред.
Msiexec / QN / и
Msiexec / QB / и
Msiexec / QN / х
Msiexec / QB / х
Първата връзка eToken USB-ключ към компютъра
Ако компютърът ви има eToken RTE 3.65, свържете eToken към USB порт или разклонителя. След това започнете нов процес обработка на оборудване, което може да отнеме известно време. След приключване на новото оборудване за обработка eToken светлинен индикатор.
Utility "на eToken Properties"
Ако ПИН-код на климата е необходимо да има нов ПИН-код отговаря на изискванията на качеството на въведената парола. качество парола се проверява в съответствие с критериите, въведени.
За проверка на паролата съвпадение на избраните критерии, въведете паролата в полето. В рамките на тази линия показва информация за въведената парола разминаването води на избраните критерии като процент, както и графично и като процент от условно показва качеството на въведената парола според избраните критерии.
Списъкът на критерии
Следващата таблица показва на критериите за качество на ПИН-кода и дава своите конфигурируеми ценности. Отрицателната стойност, изразена като процент може да се използва като критерий стойност. Тази стойност се нарича глобата.
Присвояване на критерий "речник" пътя на файла. В този случай, пътя до файла речника на всеки компютър, трябва да съответства на стойността критерий за "речник".
eToken SecurLogon съчетава ефективна защита на мрежата с удобството и мобилността. Удостоверяване на Windows с помощта на потребителско име и парола се съхранява в паметта на eToken. Това дава възможност да се прилагат много сигурна идентификация на базата на символи.
Въпреки това, бих искал да добавя, че в големи компании, като се използва структурата на домейн, трябва да се мисли за въвеждане на централизирана кандидатстване и PKI SmartCardLogon.
Потребителите могат да пишат на паметта на eToken информация, необходима за влизане в Windows (профили), ако е разрешено от политиката за сигурност на компанията.
Профилите могат да бъдат създадени чрез създаването на Wizard профил eToken Windows Logon.
Първи стъпки
Предоставяне за eToken Windows Logon:
по всички работни станции трябва да се определят eToken Runtime Environment (версия 3.65 или 3.65);
eToken SecurLogon eToken поддържа следните устройства:
eToken PRO - USB-ключ, който дава възможност за двуфакторна автентикация. Предлага се във версии 32K и 64K;
eToken NG-OTP - Hybrid USB ключ и устройство, което генерира еднократни пароли. Предлага се във версии 32K и 64K;
eToken Runtime Environment (RTE)
eToken Runtime Environment (RTE) съдържа всички файлове, както и драйверите за подкрепа eToken eToken Windows Logon. Този набор също така идва с инструмент "eToken имоти" (eToken имоти), което позволява на потребителя лесно да управлявате ПИН-кода и името на eToken.
Всички нови eToken имат един и същ ПИН-кода, по подразбиране в производството. Този ПИН-код 1234567890. За да се осигури силна, двуфакторна автентикация и пълна функционалност, потребителят трябва да замени по подразбиране собствен ПИН-код ПИН-кода веднага след нов eToken.
Важно: PIN-код не трябва да се бърка с потребителската парола за Windows.
За да инсталирате Windows Logon eToken:
влезете в системата като потребител с администраторски права;
кликнете два пъти върху SecurLogon - 2.0.0.55.msi;
съветника инсталация eToken SecurLogon появява (Фигура 11);
натиснете "Next", Лицензионното споразумение появява eToken Enterprise;
прочетете договора, щракнете върху "Приемам" бутон (Accept), а след това бутона "Next";
в края на инсталацията рестарта.
Автоматично генериране на парола.
Когато влизане потребителски профил в паметта на eToken парола може да се генерира автоматично или ръчно въвеждане. Когато автоматично генериране генерирани случайни дължина от 128 знака, парола. В този случай, потребителят няма да знае паролата си и не мога да вляза без eToken ключодържател. Изискването да се използва само пароли автоматично генерирани може да бъде зададен като задължително.
Използването eToken SecurLogon
Можете да смените паролата на Windows, след като влезете с eToken.
За да промените паролата си, след като влезете, като използвате eToken:
Вход посредством eToken;
Натиснете "CTRL + ALT + DEL", ще се появи прозорец "Windows / Windows Security сигурност";
Щракнете върху "Промяна на паролата / Промяна на паролата", ако текущата парола е създали ръчно, един прозорец "Промяна на паролата / Change Password", но ако текущата парола е създаден на случаен принцип, а след това преминете към стъпка 5;
Въведете новата парола в "Password / нова парола" и "Потвърждение / Confirm New Password" и кликнете върху бутона "ОК";
Ако текущата парола е създаден случайно, както и новата парола ще бъде генериран автоматично;
В диалоговия прозорец, въведете eToken ПИН-кода и натиснете "ОК"
ще се появи прозорец със съобщение за потвърждение.
Защита на потребителската сесия
Можете да използвате eToken за безопасността на работното си сесия.
Заключване на работна станция
Можете да се гарантира сигурността на компютъра ви в уюта на системата, като го заключите компютъра. Когато изключвате eToken от USB порт или кабел (след успешно приключване на регистрацията), операционната система ще се заключва автоматично компютъра си.
За да отключите вашия компютър:
Когато компютърът ви е заключен, ще се появи прозорец "Lock Computer Заключена компютър". Свържете eToken към USB порт или кабел. В прозореца, който се появява, въведете ПИН-кода в полето "eToken Password" и натиснете бутона "ОК" - компютърът е отключена.
Забележка: Ако натиснете "CTRL + ALT + DEL" и въвеждане на паролата се отключва без да се използват eToken.
Bezmaly Владимир Фьодорович
Ръководителят на Академията на програма за обучение по сигурността на информацията администраторите BMS Consulting
Vladimir_Bezmaly (в) ec.bms-consulting.com