autentificare USB-taste bazate pe hardware în Windows XP

În prezent, mai mult și mai mult trebuie să ne gândim la securitatea informațiilor prelucrate în legătură cu o răspândire largă de calculatoare. Primul pas în asigurarea unei autentificarea utilizatorului legitim.







Cele mai frecvente mijloace de autentificare utilizând parola. În plus, mai mult de 60% dintre utilizatori, după cum arată practica, de multe ori folosind aceleași parole pentru diferite sisteme. Inutil să mai spunem, acest lucru reduce semnificativ nivelul de securitate. Ce să fac?

În opinia mea, una dintre soluțiile la problema este de a folosi un chei de autentificare hardware. Considerăm că utilizarea lor mai detaliat pe exemplul companiei Aladdin-cheie USB.

Care este eToken?

eToken (Figura 1.) - un dispozitiv personal pentru funcțiile hardware de autentificare și de stocare a datelor cu certificate digitale și a semnăturii digitale (EDS). eToken produs sub forma:

eToken PRO - USB-cheie care permite autentificarea cu doi factori. Disponibil în versiunile 32K și 64K.

eToken NG-OTP - Hybrid USB-cheie și un dispozitiv care generează parole unice (One Time Password, OTP). Disponibil în versiunile 32K și 64K.

autentificare USB-taste bazate pe hardware în Windows XP

Aparate de 64K eToken Pro

eToken a protejat memorie non-volatilă și este utilizat pentru a stoca parole, certificate și alte date secrete.

dispozitiv de eToken

EToken PRO componente tehnologie:

Hardware algoritmi implementat: RSA 1024bit, DES, Triple-DES 168bit, SHA1, MAC, MAC-vânzare cu amănuntul, HMAC-SHA1;

Un generator de numere aleatoare hardware;

controler de interfață USB;

Carcasă din plastic dur, care nu poate fi autopsie nedetectabile.

În dispozitivul eToken NG-OTP suplimentar include următoarele componente:

Generator OTP;

buton pentru a le genera;

Pentru a obține acces la datele stocate în memoria eToken, trebuie să introduceți codul PIN (Personal Identification Number). PIN-codului nu este recomandat să folosiți spații și litere românești. În același PIN-cod trebuie să îndeplinească criteriile de calitate specificate în fișierul% systemroot% \ system32 \ etcpass.ini.

Editați fișierul care conține criteriile de calitate de cod PIN utilizând instrumentul eToken Properties.

eToken drepturilor de acces

În funcție de modelele eToken și opțiunile sunt selectate în timpul formatării, există patru tipuri de drepturi de acces la eToken:

Guest - capacitatea de a vizualiza obiecte în zona de depozitare deschisă; posibilitatea de a obține din zona de memorie de sistem de informații generale privind eToken, inclusiv numele eToken, identificatori și alți parametri. Atunci când nu este necesar accesul de vizitator la cunoașterea codului PIN;

drepturi de utilizator pentru a schimba codul PIN, fără să știe - admin; dreptul de a modifica parola de administrator; dreptul de a configura cache-ul zonei conținutului acoperit de depozitare și protecție suplimentară a parolei cheii private, precum și capacitatea de a face aceste setări disponibile în modul de utilizare;

init - formatul corect eToken PRO.

Prin eToken R2 include doar primele două tipuri de drepturi la eToken PRO și eToken NG-OTP - toate cele patru.

Acces administrativ la eToken PRO se poate face numai după parola de administrator corectă. Dacă în procesul de formatare parola de administrator nu este setată, este imposibil să se adreseze cu drepturi de administrator.

Software-ul pentru eToken. Informații generale.

eToken Run Time Mediu 3,65

eToken Run Time Mediu (eToken RTE) - un set de drivere eToken. Structura pachetului software include un utilitar „eToken Properties“ (eToken Properties).
Cu acest instrument este posibil:

eToken configura setările și drivere;

vizualiza informații generale despre eToken;

certificate de import, vizualizare și ștergere (cu excepția certificatelor de stocare eTokenEx) și containere cheie RSA;

formata PRO eToken si eToken NG-OTP;

ajusta criteriile de calitate a PIN-coduri.

Pentru a instala acest software, trebuie să aveți drepturi de administrator local. Trebuie reamintit faptul că înainte de a instala cheia RTE eToken eToken nu poate fi conectat.

instalarea software-ului trebuie să fie efectuate în ordinea următoare:

eToken RTE 3,65 RUI (interfață rusificare);

Instalarea și îndepărtarea computerului local eToken RTE 3,65

autentificare USB-taste bazate pe hardware în Windows XP

În fereastra de instalare, trebuie să citiți acordul de licență și acceptă.

autentificare USB-taste bazate pe hardware în Windows XP

Dacă nu sunteți de acord cu termenii acordului de licență, faceți clic pe „Cancel“ și, astfel, întrerupe procesul de instalare. Dacă sunteți de acord cu acordul de licență, faceți clic pe „Accept acordul de licență“ și faceți clic pe butonul „Next“. Pe ecran veți vedea următorul ecran:

autentificare USB-taste bazate pe hardware în Windows XP






Instalarea va dura ceva timp. Faceți clic pe butonul „Finish“ la sfârșitul procesului de instalare.

autentificare USB-taste bazate pe hardware în Windows XP

După instalare, poate fi necesar să reporniți computerul.

Folosind linia de comandă

Pentru a instala și a elimina eToken RTE 3.65, eToken RTE 3,65 RUI și eToken RTX pot utiliza linia de comandă.

msiexec / qn / i - stabilirea eToken RTE 3,65 (eToken RTE 3,65 RUI, eToken RTX) în modul automat, fără dialoguri cu parametrii impliciți;

msiexec / QB / i - stabilirea eToken RTE 3,65 (eToken RTE 3,65 RUI, eToken RTX) într-un mod automat cu setările implicite și afișarea pe ecran a instalației;

/ Q - instalare eToken RTE 3,65 (eToken RTE 3,65 RUI, eToken RTX) în modul automat, fără casete de dialog cu setările implicite;

/ Qb - instalare eToken RTE 3,65 (eToken RTE 3,65 RUI, eToken RTX) într-un mod automat cu setările implicite și afișarea pe ecran a instalației;

msiexec / qn / x - îndepărtarea eToken RTE 3,65 (eToken RTE 3,65 RUI, eToken RTX) în modul automat, fără casete de dialog;

msiexec / qb / x - îndepărtarea eToken RTE 3,65 (eToken RTE 3,65 RUI, eToken RTX) afișarea în mod automat pe ecran procesul de eliminare.

Prima conexiune USB eToken-cheie la computer

În cazul în care computerul are eToken RTE 3.65, conectați eToken la portul USB sau cablul prelungitor. După aceea, începe un nou proces de echipamente de prelucrare, care poate dura ceva timp. La finalizarea noului echipament de prelucrare eToken indicator luminos.

Utility "Properties eToken"

autentificare USB-taste bazate pe hardware în Windows XP

autentificare USB-taste bazate pe hardware în Windows XP

autentificare USB-taste bazate pe hardware în Windows XP

În cazul în care schimbarea PIN-cod este necesar să existe un nou cod PIN îndeplinit cerințele de calitate a parolei introduse. calitatea parolei este verificată conform criteriilor introduse.

Pentru a verifica o parolă corespunzătoare criteriilor selectate, introduceți parola în câmpul. Sub această linie afișează informații despre nepotrivire parola introduse determină criteriile selectate ca procent, precum și grafic și ca procent din condiționat afișează calitatea parolei introduse în conformitate cu criteriile selectate.

Lista criteriilor

Tabelul de mai jos prezintă criteriile de calitate a PIN-codului și având în vedere valorile lor configurabile. Valoarea negativă, exprimată ca procentaj poate fi utilizată ca valoare criteriu. Această valoare se numește amenda.

Atribuirea criteriul „dicționar“ calea fișierului. În acest caz, calea către fișierul dicționar pe fiecare computer trebuie să se potrivească cu valoarea criteriului de „dicționar“.

eToken SecurLogon combină protecția eficientă a rețelei cu confortul și mobilitatea. Autentificarea în Windows folosind numele de utilizator și parola stocate în memoria eToken. Acest lucru face posibilă aplicarea de autentificare puternice bazate pe token-uri.

Cu toate acestea, aș dori să adaug că, în companiile mari, folosind structura de domeniu, trebuie să se gândească la introducerea unei cereri centralizate și PKI SmartCardLogon.

Utilizatorii pot scrie în memoria de informații eToken necesare pentru a vă conecta la Windows (profiluri), în cazul în care este permis de politica de securitate a companiei.
Profilurile pot fi create prin stabilirea de eToken pentru Windows Logon profil Wizard.

Noțiuni de bază

Furnizarea de eToken pentru Windows Logon:

pe toate stațiile de lucru ar trebui să fie stabilite eToken Runtime Environment (versiunea 3.65 sau 3.65);

eToken SecurLogon eToken suportă următoarele dispozitive:

eToken PRO - USB-cheie care permite autentificarea cu doi factori. Disponibil în versiunile 32K și 64K;

eToken NG-OTP - Hybrid USB-cheie și un dispozitiv care generează parole unice. Disponibil în versiunile 32K și 64K;

eToken Runtime Environment (RTE)

eToken Runtime Environment (RTE) conține toate fișierele și driverele pentru a sprijini eToken eToken pentru Windows Logon. Acest set de asemenea, vine cu un instrument de „eToken Properties“ (eToken Properties), care permite utilizatorului să gestioneze cu ușurință PIN-codul și numele eToken.

Toate noile eToken au același PIN-cod, implicit în producție. Acest cod PIN 1234567890. Pentru a asigura puternic, autentificarea cu doi factori și funcționalitate completă, utilizatorul trebuie să înlocuiască propriul cod PIN PIN-cod implicit imediat după noul eToken.

Important: cod PIN nu trebuie să fie confundat cu parola de utilizator Windows.

Pentru a instala eToken pentru Windows Logon:

log on ca un utilizator cu drepturi de administrator;

dublu-clic pe SecurLogon - 2.0.0.55.msi;

eToken SecurLogon expertul de instalare apare (Figura 11.);

faceți clic pe „Next“, acordul de licență apare eToken Enterprise;

citiți acordul, faceți clic pe „Accept“ (Acceptare), apoi butonul „Next“;

la sfârșitul instalării repornire.

generarea automată a parolei.

Atunci când o intrare profil de utilizator în memoria parolei eToken pot fi generate automat sau introduse manual. Atunci când generarea automată a generat o lungime aleatoare de 128 de caractere, o parolă. În acest caz, utilizatorul nu va ști parola și nu se poate conecta fără lanț cheie eToken. Cerința de a utiliza doar parole generate automat pot fi setate ca obligatorii.

Utilizarea eToken SecurLogon

Puteți schimba parola Windows după conectați utilizând eToken.
Pentru a schimba parola după ce vă conectați folosind eToken:

Login cu eToken;

Apăsați "CTRL + ALT + DEL", o fereastră va apărea "Windows / Windows de securitate de securitate";

Dați clic pe „Change Password / Schimbare parolă“, în cazul în care parola curentă a fost creat manual, o fereastra „Change Password / Schimbare parolă“, dar dacă parola curentă a fost creată la întâmplare, apoi mergeți la pasul 5;

Introduceți noua parolă în "Password / New Password" și "Confirmare / Confirm New Password" și faceți clic pe butonul "OK";

Dacă parola curentă a fost creată în mod aleatoriu, iar noua parolă va fi generată automat;

În caseta de dialog, introduceți eToken codul PIN și apăsați „OK“

o fereastră va apărea cu un mesaj de confirmare.

Protejarea sesiunii utilizatorului

Puteți utiliza eToken pentru siguranța sesiunii de lucru.

Blocați stația de lucru

Puteți asigura securitatea computerului în confortul sistemului, prin blocarea computerului. Când deconectați eToken de la portul USB sau cablul (după înregistrarea cu succes), sistemul de operare va bloca automat calculatorul.

Pentru a debloca computerul:

Când computerul este blocat, va apărea fereastra „Blocare computer computerul blocat“. Conectați eToken la portul USB sau cablul. În fereastra care apare, introduceți PIN-codul în câmpul „eToken Password“ și faceți clic pe butonul „OK“ - computerul este deblocat.
Notă: dacă apăsați „CTRL + ALT + DEL“ și introducerea parolei este deblocat fără a utiliza eToken.

Bezmaly Vladimir Fedorovich
Șeful Academiei de program de formare de securitate a informațiilor administratorilor BMS Consulting
Vladimir_Bezmaly (at) ec.bms-consulting.com