Станции подачи заявок и агенты подачи заявок
Для выпуска или регистрации пользователей смарт-карт можно использовать
веб-интерфейс, но использовать такой подход не рекомендуется. Поскольку
для получения смарт-карт пользователям необходимо ввести имя пользователя
и пароль, такой подход снижает безопасность смарт-карт до уровня,
характерного для ввода учетных данных в веб-интерфейс. Более
предпочтительное решение заключается в создании станций подачи заявок и
назначении одного или нескольких администраторов в качестве агентов подачи
заявок.
Типичная станция подачи заявок представляет собой компьютер с
устройствами чтения и записи смарт-карт. Устройство чтения смарт-карт
позволяет агенту подачи заявок войти в систему, а устройство записи
смарт-карт позволяет выпускать новые смарт-карты для пользователей. На
станции подачи заявок групповая политика настроена таким образом, чтобы
осуществлять принудительный выход из системы при изъятии агентом подачи
заявок своей смарт-карты.
Назначенный администратор исполняет роль агента подачи заявок и
использует свою смарт-карту для входа в систему на станции подачи заявок.
Затем он открывает веб-страницу служб сертификации, проверяет учетные
данные пользователя, регистрирует его и выпускает зарегистрированную
смарт-карту. Агенты подачи заявок должны иметь сертификат агента подачи
заявок и разрешение на доступ к шаблонам сертификатов.
Рекомендации по работе
В решении для смарт-карт на основе VPN должна быть предусмотрена
возможность наблюдения за его работоспособностью. Средства наблюдения
должны отображать сведения, необходимые для обеспечения работоспособности.
Если решение не удовлетворяет этому требованию, персонал, ответственный за
безопасность, не сможет оценить эффективность обеспечиваемой решением
защиты удаленного доступа.
Ниже перечислены основные рекомендации по работе.
• |
Тестируйте проверку подлинности для внутренних приложений
Смарт-карта должна влиять только на первоначальный вход в систему.
Следует протестировать и проверить возможность успешной проверки
подлинности для внутренних приложений с помощью экспериментальной
программы. |
• |
Тестируйте проверку подлинности для внутренних приложений
Для успешного устранения неполадок с удаленными клиентами требуется
тесное взаимодействие нескольких команд в разных часовых поясах.
Тщательное тестирование и грамотное пилотное внедрение помогут
сократить количество обращений в службу поддержки. |
• |
Изучите сценарии удаленного доступа, используемые в
организации, и возможные угрозы Необходимо изучить сценарии
удаленного доступа, используемые в организации, и возможные угрозы
безопасности, а также их взаимосвязь. Необходимо установить более
высокий приоритет для тех ресурсов, для которых требуется более
высокий уровень защиты и определить оптимальное соотношение между
затратами и риском. |
• |
Заблаговременно учитывайте технические сложности
Необходимо заранее учитывать технические сложности, такие как
процедуры установки и распространение средств управления
смарт-картами. Может потребоваться интегрировать решение на основе
смарт-карт в существующие средства управления
предприятием. |
• |
Осуществляйте наблюдение и вовремя устраняйте проблемы с
производительностью Необходимо осуществлять наблюдение и
устранять проблемы с производительностью, а также зафиксировать
ожидания пользователей перед внедрением. |
• |
Учитывайте наличие личного оборудования Помните, что
домашние компьютеры сотрудников являются их частной собственностью и
не находятся в ведении ИТ-отдела организации. Если сотрудник не
может установить оборудование или программное обеспечение для
поддержки удаленного доступа с использованием смарт-карт, то
доступны другие варианты. Например, веб-клиент Microsoft Outlook®
(OWA) предоставляет сотрудникам доступ к их почтовым ящикам на
сервере Microsoft Exchange Server через зашифрованные
SSL-соединения.
Дополнительные сведения о безопасности электронной почты см. в
статье из данной серии «Защита конфиденциальности электронной почты в
различных отраслях промышленности» (эта ссылка может
указывать на содержимое полностью или частично на английском
языке). |
• |
Контролируйте изменения в решении Необходимо
контролировать все изменения и улучшения, вносимые в решение,
используя те же процессы, что и при первоначальном
внедрении. |
• |
Оптимизируйте решение Все аспекты решения на основе
смарт-карт нуждаются в периодическом пересмотре и оптимизации.
Необходимо постоянно пересматривать процессы подачи заявок и
необходимость создания исключений для учетных записей с целью
повышения безопасности и целостности. |
Вход в систему с помощью смарт-карт для VPN-сценария удаленного
доступа
Описанный в данном разделе процесс настройки входа в систему с помощью
смарт-карт для VPN-подключений удаленного доступа рассчитан на компании,
относящиеся к малому и среднему бизнесу. На приведенном ниже рисунке
показана корпоративная сеть среднего размера; в вашей среде могут
использоваться некоторые или все из показанных служб.
Рис. 1. Удаленный доступ в ИТ-среде среднего
размера
В частности, этот процесс подходит для случаев, когда удаленным
пользователям необходим доступ к корпоративным данным из внешних
местоположений. Чтобы получить этот доступ, удаленные пользователи создают
VPN-подключение к VPN-серверу Windows Server 2003 и используют для
проверки подлинности смарт-карты.
Следующие процедуры помогут подготовить, развернуть и настроить
поддержку смарт-карт для VPN-подключений удаленного доступа.
Подготовка центра сертификации для выпуска сертификатов
смарт-карт
В первую очередь необходимо подготовить центр сертификации для
назначения необходимых сертификатов, агентов подачи заявок и входа в
систему с помощью смарт-карт.
Подготовка центра сертификации к выпуску сертификатов
смарт-карт
1. |
Войдите в систему с учетной записью администратора. |
2. |
Откройте окно Сайты и службы Active Directory. |
3. |
Войдите в меню Вид и выберите пункт Показать узел
служб. |
4. |
Раскройте пункт Службы, щелкните пункт Public Key
Services (Службы открытых ключей), а затем — пункт Шаблоны
сертификатов (см. следующий снимок экрана).
|
5. |
Щелкните правой кнопкой мыши шаблон сертификата
EnrollmentAgent (Агент подачи заявок) и выберите пункт
Свойства. |
6. |
Добавьте группу безопасности для агентов подачи заявок, созданную
перед началом внедрения, и назначьте разрешения на чтение
и подачу заявок (см. следующий снимок экрана). Нажмите кнопку
ОК.
|
7. |
Закройте окно Сайты и службы Active Directory. |
8. |
Откройте окно Центр сертификации. |
9. |
Раскройте имя сервера и выберите пункт Шаблоны
сертификатов. На правой панели имеется список сертификатов,
которые может назначать центр сертификации (см. следующий снимок
экрана).
|
10. |
Щелкните правой кнопкой мыши пункт Шаблоны сертификатов,
выберите команду Создать и щелкните пункт Выдаваемый
шаблон сертификата. |
11. |
Нажав и удерживая клавишу CTRL, выберите в списке Включение
шаблонов сертификатов пункты Агент подачи заявок и
Вход со смарт-картой (см. следующий снимок экрана). Нажмите
кнопку ОК.
|
12. |
Закройте окно Центр сертификации. |
Развертывание сертификатов на смарт-карты
Следующим шагом можно назначить сертификаты смарт-картам для удаленных
пользователей. Войдите в систему в качестве агента подачи заявок для
домена, в котором находится учетная запись пользователя.
Развертывание сертификатов на смарт-карты
1. |
Откройте обозреватель Microsoft Internet Explorer®. |
2. |
В адресной строке введите адрес центра сертификации, который
выпускает сертификаты для входа в систему с помощью смарт-карт, и
нажмите клавишу ВВОД. |
3. |
Щелкните пункт Запрос сертификата, а затем пункт
Расширенный запрос сертификата. Появится окно, аналогичное
изображенному ниже.
|
4. |
Щелкните ссылку Запросить сертификат для смарт-карты от имени
другого пользователя с помощью станции заявок на сертификаты
смарт-карт. Если появится предложение принять элемент управления
Microsoft ActiveX®, нажмите кнопку Да. В обозревателе
Internet Explorer необходимо включить использование элементов
управления ActiveX. |
5. |
В окне Станция подачи заявок сертификатов смарт-карт (см.
следующий снимок экрана) выберите пункт Вход в систему с помощью
смарт-карт. Кроме того, должны быть видны имена центра
сертификации, поставщика службы криптографии и
сертификата подписи администратора. Если не удается выбрать
сертификат подписи администратора, значит, вошедшему в систему
пользователю не был назначен сертификат агента подачи заявок.
|
6. |
Выберите из раскрывающегося списка Центр сертификации имя
центра сертификации, от которого требуется выпустить сертификат для
смарт-карты. |
7. |
Выберите из раскрывающегося списка Поставщик службы
криптографии производителя смарт-карты. |
8. |
В поле Сертификат подписи администратора введите имя
сертификата агента подачи заявок, который будет подписывать запрос
подачи заявки, либо щелкните Выбрать сертификат, чтобы
выбрать имя. |
9. |
Щелкните Выбрать пользователя и выберите необходимую
учетную запись пользователя. Нажмите кнопку Заявка.
|
10. |
При появлении запроса вставьте смарт-карту в устройство чтения
смарт-карт на компьютере и нажмите кнопку ОК. При появлении
запроса персонального идентификационного номера (ПИН), введите
ПИН-код смарт-карты. |
Настройка VPN-серверов для проверки подлинности с использованием
смарт-карт
Теперь можно приступить к настройке VPN-сервера.