Пошаговое руководство по установке и использованию считывателя смарт-карт

Пошаговое руководство по установке и использованию считывателя смарт-карт
Посетителей: 30169 \| Просмотров: 37549 (сегодня 0)	Шрифт:

Одной из новых возможностей ОС Microsoft® Windows® 2000 является поддержка смарт-карт и считывателей смарт-карт на уровне самой ОС. Смарт-карты расширяют возможности решений, основанных на использовании только программного обеспечения таких, как проверка подлинности клиента, вход в систему, подпись и безопасная электронная почта, где операции с закрытым ключом выполняются на смарт-карте, а не на самом компьютере.

На этой странице

Введение
Установка считывателя смарт-карт
Запрос сертификата смарт-карты
Использование смарт-карты для входа в систему

Введение

Использование смарт-карты для входа в систему является наиболее жесткой формой определения подлинности, поскольку вход пользователя в домен осуществляется с использованием криптозащиты и системы подтверждения владения. Злоумышленники, получившие чей-то пароль, могут воспользоваться им для доступа к сети. Многие пользователи выбирают довольно простые для запоминания пароли, которые можно очень легко подобрать с помощью атаки по словарю.

В случае использования смарт-карты злоумышленники должны получить не только саму смарт-карту пользователя, но и ее персональный идентификационный номер (PIN-код), чтобы работать в системе от имени пользователя. Очевидно, что такую защиту сложнее преодолеть, поскольку требуется дополнительная информация для работы от имени пользователя. Еще одним преимуществом является блокировка смарт-карты при неправильном вводе PIN-кода несколько раз подряд (например, три раза). Благодаря этому подбор данных с помощью атаки по словарю становится очень сложным.

В целом, смарт-карты обеспечивают следующие возможности:

•	Защищенное хранение закрытых ключей и прочей персональной информации.
•	Скрытость таких критических вычислений, связанных с безопасностью, как проверка подлинности, цифровые подписи и обмен ключами, о которых другие части системы не должны знать.
•	Возможность использования одних и тех же учетных данных и прочей личной информации при работе с компьютером на работе, дома или в пути.

Требования и предварительные условия

Использование данного пошагового руководства предполагает, что Вы уже проделали все процедуры, описанные в Пошаговом руководстве по развертыванию базовой инфраструктуры Windows 2000 Server (Step-by-Step Guide to Common Infrastructure for Windows 2000 Server Deployment) (EN)

В указанном документе определены особые требования к аппаратной и программной части компьютера. Если Вы не используете базовую инфраструктуру, Вы должны принять это во внимание при использовании данного документа. Самую последнюю информацию о требованиях к оборудованию и совместимости серверов, клиентов и устройств можно найти на странице проверки совместимости оборудования и программного обеспечения Windows 2000. (http://www.microsoft.com/windows2000/server/howtobuy/upgrading/compat/default.asp) (EN).

Использование данного документа также предполагает, что Вы уже ознакомились со следующими руководствами (Вы можете их найти на сайте Microsoft TechNet):

•	Пошаговое руководство по управлению Active Directory (Step-by-Step Guide to Managing the Active Directory) (EN)
•	Пошаговое руководство по настройке Центра сертификации (Step-by-Step Guide to Setting up a Certificate Authority) (EN)
•	Пошаговое руководство по настройке Доверенного Центра сертификации домена (Step-by-Step Guide to Setting up Certificate Authority Trust for a Domain) (EN)
•	Пошаговое руководство по администрированию Служб сертификации (Step-by-Step Guide to Administering Certificate Services) (EN)
•	Пошаговое руководство по дополнительному управлению сертификатами (Step-by-Step Guide to Advanced Certificate Management) (EN)
•	Пошаговое руководство по управлению сертификатами конечного пользователя (Step-by-Step Guide to End User Certificate Management) (EN)

Если Вы не выполнили действия, описанные в вышеуказанных руководствах, то для успешного выполнения шагов, описанных в данном документе, необходимо будет сначала настроить следующую конфигурацию:

•

Контроллер домена Windows 2000 Server с установленной службой Active Directory. Домен должен поддерживать использование паролей NTLM (Microsoft Windows NT® LAN Manager), проверку подлинности с помощью протокола Kerberos и проверку подлинности с использованием открытого ключа (смарт-карты).

•

Также в домене Windows 2000 необходимо иметь компьютер с установленной ОС Windows 2000 Professional.

В данном документе детально описываются шаги по установке и использованию считывателей смарт-карт на рабочей станции под управлением ОС Windows 2000 Professional, работающей с контроллером домена Windows 2000 так, как описано выше.

Поддерживаемые считыватели смарт-карт

Перед тем, как начать пользоваться смарт-картами, необходимо вначале установить считыватель смарт-карт в Ваш компьютер. Ниже в таблице перечислены драйверы считывателей смарт-карт, входящие в состав ОС Microsoft® Windows® 2000. Установка соответствующих Plug and Play –совместимых считывателей смарт-карт производится при обнаружении подключенного оборудования.

Производитель	Считыватель смарт-карт	Интерфейс	Драйвер устройства
Bull CP8	Smart TLP3	RS-232	bulltlp3.sys
Gemplus	GCR410P	RS-232	gcr410p.sys
Gemplus	GPR400	PCMCIA	gpr400.sys
Litronic	220P	RS-232	lit220p.sys
Rainbow Technologies	3531	RS-232	rnbo3531.sys
SCM Microsystems	SwapSmart	RS-232	scmstcs.sys
SCM Microsystems	SwapSmart	PCMCIA	pscr.sys

В данном документе описывается установка и использование только Plug and Play-совместимых считывателей смарт-карт. Не рекомендуется использование Plug and Play-несовместимых считывателей в ОС Windows 2000. При использовании Plug and Play-несовместимого считывателя смарт-карт необходимо получить от производителя устройства инструкции по установке и соответствующие драйверы. Microsoft не поддерживает нерекомендуемые считыватели смарт-карт без функции Plug and Play.

Для того чтобы покупатели могли легко определить, что смарт-карты одного производителя совместимы со считывателями смарт-карт другого производителя, корпорация Microsoft разработала программу использования специального логотипа для считывателей смарт-карт, во многом похожую на ту, что она разработала для других устройств (сетевых карт, звуковых карт и т.п.). Данная программа основана на спецификации персональный компьютер/смарт-карта (PC/SC), гарантирующей работу считывателя смарт-карты на платформе Windows. За информацией о Windows-совместимых считывателях смарт-карт обратитесь к списку Windows-совместимого оборудования.

Примечание: Настоятельно рекомендуется устанавливать в компьютеры, работающие под управлением ОС Windows 2000, только те считыватели смарт-карт, которые прошли проверку в лаборатории Microsoft Windows Hardware Quality Lab (WHQL) и получили соответствующий логотип Windows-совместимости. На рынке имеется много PC/SC-совместимых устройств несовместимых друг с другом. На самом деле использование термина PC/SC-совместимый является бессмысленным, поскольку невозможно проверить соответствие функциональности устройства спецификации PC/SC.

Поддерживаемые смарт-карты

При установке ОС Windows 2000 по умолчанию устанавливается поддержка криптографических смарт-карт Gemplus GemSAFE и Schlumberger Cryptoflex. Для их использования Вам не нужно ничего дополнительно настраивать на компьютере-клиенте или сервере. Получить криптографические смарт-карты можно прямо от соответствующих компаний, но не от корпорации Microsoft.

Ниже в таблице приведены различия между карточками с точки зрения потребителя

Смарт-карта	Начальный PIN-код	Форма контактной площадки	Поставщик служб криптографии
Gemplus GemSAFE	1234	Овал	Gemplus GemaSAFE Card CSP v1.0
Schlumberger Cryptoflex	00000000	прямоугольник	Schlumberger Cryptographic Service Provider

Примечание 1: Хотя в ОС Windows 2000 и включена поддержка только описанных выше смарт-карт, но и другие криптографические смарт-карты, основанные на алгоритме RSA, могут работать с Инфраструктурой открытых ключей Windows 2000. Это возможно в том случае, если производитель смарт-карт разработал Поставщика служб криптографии (Cryptographic Service Provider - CSP) для использования CryptoAPI и Smart Card SDK для своей смарт-карты, доступных в Сети разработчика Microsoft (MSDN).

Примечание 2 PIN-код карты можно изменить в любое время, когда появляется диалоговое окно закрытого ключа поставщика служб криптографии (CSP). Ответственность за управление PIN-кодами ложится на поставщика служб криптографии (CSP) и пользователя. ОС Windows 2000 не поддерживает управление PIN-кодами.

Наверх страницы

Установка считывателя смарт-карт

В комплект со считывателями смарт-карт входит инструкция по подключению устройства с помощью соответствующих кабелей. Если подобных инструкций нет, воспользуйтесь следующей общей процедурой. Считыватель смарт-карт необходимо установить на рабочую станцию, работающую под управлением ОС Windows 2000 Professional.

Для подключения считывателя смарт-карт

1.	Выключите компьютер и отключите питание.
2.	Подключите считыватель к свободному последовательному порту или вставьте его (PC Card reader) в свободный слот PCMCIA Type II.
3.	Если у считывателя карт, который Вы подключили к последовательному порту, есть кабель/коннектор для дополнительного питания через разъем PS/2, подсоедините к нему коннектор клавиатуры или мышки и подключите его в соответствующий порт. Сейчас многие модели считывателей смарт-карт, подключаемые к порту RS-232, используют дополнительное питание из порта для клавиатуры или мышки, поскольку питания порта RS-232 бывает недостаточно, а отдельный источник питания будет слишком дорого стоить.
4.	Включите компьютер и войдите в систему под учетной записью пользователя с правами администратора.

Установка драйвера считывателя смарт-карт

Если произошло определение и установка считывателя смарт-карт, то это отобразится в Окне приветствия при входе в систему. Если нет:

1.	Для установки драйвера устройства следуйте указаниям на экране. Потребуется наличие как минимум компакт-диска с ОС Windows 2000 или носителя, содержащего подходящий драйвер от производителя считывателя смарт-карт. (Возможно, Ваш системный администратор откроет доступ к общему ресурсу сети, где Вы сможете получить необходимый драйвер).
2.	Выполните правый щелчок на иконке Мой компьютер (My Computer), расположенной на рабочем столе, и выберите Управление (Manage).
3.	Раскройте пункт Службы и приложения (Services and Applications) и нажмите Службы (Services).
4.	В правой части окна сделайте правый щелчок на пункте Смарт-карты (Smart Card). Выберите Свойства (Properties).
5.	На закладке Общие (General) выберите Авто (Automatic) из раскрывающегося списка Тип запуска (Startup Type). Нажмите OK.
6.	Перезагрузите компьютер, если мастер настройки оборудования попросит это сделать.

Если мастер настройки оборудования не запустился автоматически, значит, Ваш считыватель карт не является Plug and Play-совместимым устройством. В ОС Windows 2000 настоятельно рекомендуется использовать только Plug and Play-совместимые считыватели смарт-карт.

Наверх страницы

Подача заявок на сертификаты смарт-карт

Пользователь домена не может выполнять подачу заявок на сертификат входа со смарт-картой (проверки подлинности) или на сертификат пользователя смарт-карты (проверка подлинности плюс электронная почта) до тех пор, пока системный администратор не обеспечит пользователю доступ к Шаблону сертификата, хранящемуся в службе Active DirectoryTM ОС Microsoft® Windows® 2000. Поскольку подача заявок на сертификаты должна контролироваться, то это сделано по аналогии с тем, как используется удостоверения служащих для обеспечения их идентификации и физического доступа. Пользователям рекомендуется подавать заявки на сертификаты смарт-карт и ключей от имени станции, входящей в состав Службы сертификации ОС Windows® 2000 Server и Windows 2000 Advanced Server.

При установке Центра сертификации предприятия (CA) устанавливается также специальная станция, от имени которой происходит подача заявок. Использование этой станции позволяет администратору действовать от имени определенного пользователя для осуществления запроса и установки на смарт-карту сертификата Входа со смарт-картой или сертификата Пользователя смарт-карты. Станция подачи заявок не предоставляет никаких особых функций по управлению смарт-картами, таких как создание файловой структуры или изменение PIN-кода, поскольку все эти особые функции являются уникальными и зависят от производителя. Этими функциями можно воспользоваться только при использовании специализированного программного обеспечения, разработанного производителем смарт-карты.

Все описанные в данном пошаговом руководстве процедуры должны выполнятся администратором.

Подача заявок на сертификат смарт-карты

Следующие шаги показывают, что необходимо сделать администратору для подачи заявки на сертификаты Входа со смарт-картой и Пользователя смарт-карты от имени определенного пользователя.

1.	Дважды щелкните по значку Microsoft Internet Explorer на рабочем столе.
2.	Для подключения к Центру сертификации введите http://machine-name/certsrv в поле Адрес (Address) Microsoft Internet Explorer (где machine-name необходимо заменить на имя того компьютера, на котором работает Центр сертификации).
3.	Появится страница приветствия Служб сертификатов Microsoft (Microsoft Certificate Services Welcome). Выберите Запросить сертификат (Request a certificate) и затем нажмите Далее (Next).
4.	Появится страница Выбора типа запроса (Choose Request Type). Выберите Дополнительные параметры запроса (Advanced request) и нажмите Далее (Next).
5.	Появится страница Дополнительных параметров запроса сертификата (Advanced Certificate Requests). Выберите Запросить сертификат для смарт-карты от имени другого пользователя (Request a certificate for a smart card on behalf of another user), используя Станцию подачи заявок смарт-карт (Smart Card Enrollment Station), и нажмите Далее (Next).
6.	При первом использовании Станции подачи заявок смарт-карт (Smart Card Enrollment Station) из Центра сертификации нa нее будет загружен компонент Microsoft® ActiveX®, имеющий цифровую подпись и обеспечивающий контроль. Для начала использования Станции подачи заявок нажмите Да (Yes) в диалоговом окне Предупреждение системы безопасности (Security Warning), чтобы установить компонент контроля. Появится страница Станция подачи заявок смарт-карт (Smart Card Enrollment Station). На этой странице перед тем, как подать заявку от имени другого пользователя, Вам необходимо проделать следующее: Выберите один из двух шаблонов сертификата: Вход со смарт-картой (Smart Card Logon) или Пользователь смарт-карты (Smart Card User ) Выберите Центр сертификации (Certification Authority). Выберите Поставщика служб криптографии (Cryptographic Service Provider). Выберите Сертификат подписи администратора (Administrator Signing Certificate). Выберите Заявляемого пользователя (User To Enroll). Выполните первые три пункта, выбрав указанные значения в раскрывающихся списках на странице Станция подачи заявок смарт-карт (Smart Card Enrollment Station)
7.	После выбора Шаблона сертификата (Certificate Template), Центра сертификации (Certification Authority) и Поставщика служб криптографии (Cryptographic Service Provider), выберите Сертификат подписи администратора (Administrator Signing Certificate), нажав Выбрать сертификат (Select Certificate). Появится диалоговое окно со списком доступных к использованию сертификатов. Выберите всего один сертификат из списка (в том случае, если будет представлено больше одного сертификата) и нажмите OK. У Вас также имеется возможность посмотреть сертификат, нажав Просмотр сертификатов (View Certificate). Нажатие Отмена (Cancel) приведет к тому, что ни один сертификат не будет выбран.
8.	Выберите пользователя, для которого необходимо подать заявку на сертификат. Нажмите Выбор пользователя (Select User). Для завершения нажмите OK.
9.	Все готово для того, чтобы отправить запрос. Нажмите Подать заявку (Enroll).
10.	Если смарт-карта не вставлена в считыватель смарт-карт, появится диалоговое окно, информирующее о необходимости сделать это. Вставив карту в считыватель смарт-карт, нажмите кнопку Повтор (Retry).
11.	Являясь частью процедуры подачи заявки на сертификат, запрос должен иметь цифровую подпись в виде закрытого ключа, соответствующего открытому ключу, который содержится в запросе сертификата. Поскольку закрытый ключ хранится на смарт-карте, то для получения цифровой подписи необходимо будет пройти процедуру проверки подлинности, чтобы доказать, что Вы являетесь владельцем смарт-карты (и соответственно закрытого ключа). Введите PIN-код карты и затем нажмите OK.

Также пользователь может изменить PIN-код, нажав Изменить (Change). При этом откроется диалоговое окно, в котором пользователь сможет ввести новый буквенно-цифровой PIN-код. Перед изменением PIN-кода необходимо будет вначале ввести старый PIN-код, чтобы подтвердить, что Вы являетесь владельцем карточки. Если Центр сертификации успешно обработает запрос сертификата, то на странице Станции подачи заявок смарт-карт (Smart Card Enrollment Station) отобразится информация о том, что процедура подачи заявки завершена и карточка готова к использованию. Вы можете просмотреть сертификат, нажав Просмотр сертификата (View Certificate), или определить нового пользователя, нажав Новый пользователь (New User).

Наверх страницы

Вход в систему с помощью смарт-карты

После правильной настройки считывателя смарт-карт на компьютерах-клиентах появится диалоговое окно Приветствие Windows (Welcome to Windows). При входе в систему пользователя попросят вставить смарт-карту вместо ввода имени пользователя и пароля.

Чтобы войти в систему с помощью пароля, необходимо будет нажать комбинацию клавиш Ctrl+Alt+Del, вызывающую специальную SAS-последовательность (Secure Attention Sequence). Для входа в систему с помощью смарт-карт пользователям необходимо только вставить смарт-карту в считыватель смарт-карты. При таком безопасном входе необходимо ввести только PIN-код карты вместо ввода имени пользователя, пароля и домена.

Для входа в домен Windows 2000, настроенного на поддержку входа с использованием смарт-карт, необходимо:

Вставить смарт-карту Gemplus GemSAFE или Schlumberger Cryptoflex, на которой хранятся предварительно выданные Центром сертификации предприятия (Enterprise Certification Authority CA) сертификаты открытых ключей. (Для получения дополнительной информации об открытых ключах обратитесь к Пошаговому руководству по CA).

Введите Ваш PIN-код и нажмите OK.

•	Заданный по умолчанию PIN-код карты Gemplus GemSAFE (ее можно определить по овальной форме металлического контакта) - 1234.
•	Заданный по умолчанию PIN-код для карточки Schlumberger Cryptoflex (ее можно определить по прямоугольной форме металлического контакта) - 00000000.

Примечание: Если Контроллер домена недоступен, то войти в систему со смарт-картой не удастся даже в том случае, если пользователь уже вошел ранее в систему со смарт-картой. В случае, если Контроллер домена доступен, но у него нет правильного Списка отзыва сертификатов (Certificate Revocation List (CRL)) Центра сертификации, войти в систему также не удастся. При этом в обоих случаях будет выводиться одно и то же сообщение:

Не разрешен вход в систему. Не удается проверить учетные данные.

(The system could not log you on. Your credentials could not be verified. )

Блокировка и снятие блокировки с компьютера с помощью смарт-карты

Для блокировки компьютера (вместо осуществления выхода)

•	Нажмите одновременно клавиши Ctrl+Alt+Del и затем выберите Блокировка (Lock Computer)

Для снятия блокировки с компьютера

•	Вставьте смарт-карту в считыватель смарт-карт и введите свой PIN-код. (Снятие блокировки с помощью смарт-карты осуществляется точно так же, как и вход в систему)

Наверх страницы

Обсуждение статьи на форуме

Автор: Пришляк Александр aka Alexander_Grig • Иcточник: (переведено с англ.) Microsoft Technet • Опубликована: 24.06.2006

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Теги:

Оценить статью: