Меню Рубрики

Установка etoken network logon

Лицензия SafeNet Network Logon 8

Программа, которая позволяет использовать eToken вместо логина и пароля для входа в учетную запись Windows. Не требует установки AD, может быть установлено на отдельно стоящий компьютер. Может быть сертифицирована ФСТЭК, сертификат №2792.

Закажите SafeNet Network Logon сегодня, и вы сможете:

Решить проблему забывания и записывания паролей на листок

Авторизоваться в учетную запись Windows при помощи eToken Pro 72k или eToken 5100 даже на отдельно стоящем компьютере без AD.

Блокировать компьютера при отсоединении eToken.

использовать инфраструктуру открытых ключей (PKI), требуется установка AD.

Использовать сертифицированную ФСТЭК версию.

Все настройки и использование не русском языке.

Назначение SafeNet Network Logon

SafeNet Network Logon — это программа, которая после установки добавляет возможность входить в учетную запись Windows, используя eToken, вместо логина и пароля.

Принцип работы SafeNet Network Logon очень простой:

Программ сгенерирует для пользователя новый сложный пароль для входа в Windows (длиной 14 символов, обязательно содержащий буквы верхнего и нижнего регистра, цифры, спецсимволы);

Затем заменит текущий пароль пользователя Windows на новый;

И сохранит новый сложный пароль для входа в Windows в защищенной памяти eToken.

После настройки пользователю не нужно больше помнить свой пароль, новый сложный пароль будет записан в память самого eToken. Для того что бы зайти в свою учетную запись Windows нужно подключить eToken и ввести ПИН-код. Программа сама считает логин и пароль пользователя из памяти и «пробросит» его в учетную запись Windows, при этом не важно подключен компьютер к домену или является отдельно стоящим.

SafeNet Network Logon также может быть использован в домене Windows, используя инфраструктуру открытых ключей (PKI), в данном случае на токен, вместо логина и пароля будет записан цифровой сертификат Х.509, при помощи которого будет происходить авторизация.

Еще один сценарий использования предусматривает использование ключей eToken Pass. Для использования токенов с одноразовыми паролями, компьютер должен быть подключен в AD и должны быть установлена программа SafeNet Authentication Manager (SAM).

Сертифицированная версия SafeNet Network Logon и чем она отличается от обычной.

Сертифицированная версия включает в себя 2 позиции:

  • Лицензия NL (SafeNet Network Logon 8) на 1 год сертификат 2792
  • Комплект документации и дистрибутив программного обеспечения SafeNet Network Logon 8 на компакт диске (сертификат № 2792).

Для работы с сертифицированной версией SafeNet Network Logon потребуется сертифицированная версия SafeNet Authentication Client (SAC) и сертифицированные токены eToken 5100.

Обычная лицензия поставляется по электронной почте и не имеет привязки к версии, на данный момент для загрузки доступны версии: SafeNet Network Logon версии 8.2, версии 8.3, версии 10.

Обычная лицензия включает в себя техническую поддержку на 1 год, в течении этого периода вы можете перейти на любую новую версию. После окончания периода включенной технической поддержки, вы поп прежнему можете использовать SafeNet Network Logon, но для получения новых версий необходимо будет оформить платную подписку на дополнительную техническую поддержку.

Системные требования SafeNet Network Logon

Требования к программному обеспечению

На компьютере должна быть установлена одна из операционных систем:

  • Windows Server 2003/R2
  • Windows Server 2008/R2
  • Windows Server 2012
  • Windows 10
  • Windows 8
  • Windows 7
  • Windows XP/Vista (32- and 64-bit)

Кроме того, на компьютере должен быть установлен набор драйверов SafeNet Authentication Client (SAC) Если его нет, бужет установлена триальная версия на 30 дней.

Требования к аппаратному обеспечению

Для работы необходим eToken Pro 72k или eToken 5100 и свободный USB порт.

Установка и настройка SafeNet Network Logon

Скачать дистрибутив SafeNet Network Logon можно перейдя по этой ссылке (Бесплатная 30 дневная версия): safenet-network-logon-8.3.9-30_day-trial.zip

Установка происходит в 5 шагов:.

    Нажмите кнопку Далее ( Next>)

Примите условия пользовательского соглашения и нажмите кнопку Далее ( Next>)

Выберите язык (Поддерживается 7 языков в т.ч. Русский) и нажмите кнопку Далее ( Next>)

  • Выберите путь установки и нажмите кнопку Далее ( Next>)
  • Завершите установку нажав кнопку Закончить (Finish)
  • источник

    Aladdin eToken Network Logon
    Снят с продаж

    Содержание

    eToken Network Logon – предназначен для кардинального решения проблемы «слабых» паролей при работе на компьютерах под управлением Microsoft Windows

    • Вход на компьютер и в сеть Windows с использованием eToken.
    • Регистрация пользователя по сложному паролю или цифровому сертификату.
    • Блокирование компьютера при отсоединении eToken.
    • Решение проблемы «слабых» паролей.
    • Интеграция в инфраструктуру открытых ключей.
    • Сертифицированная версия.

    Назначение

    В простейшем сценарии использования eToken Network Logon:

    • генерирует для пользователя новый сложный пароль для входа в Windows (длиной 14 символов, обязательно содержащий буквы верхнего и нижнего регистра, цифры, спецсимволы);
    • сменит текущий пароль пользователя Windows на новый сложный пароль;
    • сохранит новый сложный пароль для входа в Windows в защищенной памяти USB-ключа или смарт-карты eToken.

    Для входа в Windows достаточно подключить eToken и ввести пароль пользователя для самого ключа eToken. Хранящийся в защищённой памяти ключа eToken пароль Windows будет считан из памяти ключа и передан в Windows — это исключает возможность подсматривания или перехвата пароля Windows злоумышленником и делает реально возможным использование в среде Windows сложных и стойких к перебору паролей.

    eToken Network Logon обеспечивает:

    • Двухфакторную аутентификацию пользователей на компьютере и в сети Windows с помощью USB-ключей или смарт-карт eToken;
    • Использование регистрационных имён и паролей для локального входа в систему или для входа в домен;
    • Использование цифровых сертификатов Х.509, сертификатов пользователя со смарт-картой и закрытых ключей для входа в домен;
    • Генерирование и последующее применение случайных паролей, неизвестных пользователю.

    2017: Снятие с продаж продуктов линейки eToken

    Извещение о планах прекращения продажи, поддержки и сопровождения USB-токенов и смарт-карт семейства eToken PRO (Java), eToken и СКЗИ «Криптотокен» в составе изделий eToken ГОСТ [1] .

    Продукты линейки eToken сняты с продаж с начала 2017 года. Условия завершения продаж и жизненного цикла изделий линейки eToken PRO (Java), указанные в приведённой ниже таблице, распространяются на все существующие форм-факторы (USB-токен, смарт-карта и пр.). Список включает как несертифицированные, так и сертифицированные изделия. Подробный перечень моделей для всех перечисленных изделий указан в разделе «Артикулы и наименования» Извещения.

    • последняя дата продажи 31 марта 2017 г., дата окончания поддержки 1 декабря 2020 г.
    • eToken PRO (Java), eToken NG-FLASH (Java), eToken NG-OTP (Java), eToken PRO Anywhere
    • последняя дата продажи 31 января 2017 г., дата окончания поддержки 1 декабря 2020 г.
    • eToken 4100 Smartcard, eToken 5100/5105, eToken 5200/5205
    • последняя дата продажи 31 августа 2017 г., дата окончания поддержки 1 декабря 2018 г.
    • Изделия, содержащие СКЗИ «Криптотокен» (eToken ГОСТ)

    Техническая поддержка приобретённых ранее продуктов будет осуществляться до завершения оплаченного периода технической поддержки.

    Вместо электронных ключей eToken PRO (Java) и eToken компания «Аладдин Р.Д.» предлагает новые отечественные USB-токены, смарт-карты, встраиваемые модули безопасности (чипы), ОТР-токены JaCarta PRO, JaCarta PKI, JaCarta WebPass, разработанные и производимые ею в Российской Федерации.

    • eToken, eToken PRO (Java), SafeNet eToken
      • JaCarta PRO — Совместимая модель
      • JaCarta PKI — Функциональный аналог
    • eToken PRO Anywhere — нет
    • eToken NG-FLASH (Java) — В 2018 году планируется представить аналогичное изделие в линейке JaCarta
    • eToken NG-OTP (Java) — Функциональный аналог, формирующий значение ОТР и передающий его по USB-порту
    Читайте также:  Установка антенн интернета ета

    Возможности eToken Network Logon

    Функционал

    eToken Network Logon может быть установлен на компьютеры и ноутбуки под управлением ОС Microsoft Windows, объединённые в рабочую группу или домен Windows.

    После установки eToken Network Logon стандартное приглашение для входа в Microsoft Windows заменяется новым, которое расширяет возможности по входу пользователя в систему:

    • можно подключить смарт-карту (eToken) с закрытым ключом и сертификатом пользователя, ввести пароль пользователя для eToken и войти в систему;
    • можно нажать CTRL+ALT+DELETE, ввести имя пользователя, пароль и (при необходимости) имя домена, нажать OK и войти в систему.

    Для каждого из этих двух способов аутентификации в eToken Network Logon предусмотрены усовершенствования: Вместо того чтобы каждый раз вводить имя пользователя и сложный пароль, пользователь один раз сохраняет их в памяти eToken, а впоследствии лишь подключает eToken и вводит для него пароль пользователя.

    Для того чтобы войти в систему, предъявив сертификат пользователя со смарт-картой, надо подключить eToken и ввести для него пароль пользователя. Если eToken уже подключен, не нужно вынимать его и повторно подключать, достаточно лишь нажать CTRL+L, а затем ввести пароль пользователя для eToken.

    Возможности

    Решение проблемы «слабых» паролей. После установки продукта можно: полностью отказаться от использования паролей при входе на компьютер и в сеть, перейдя к использованию цифровых сертификатов, либо использовать хранимые в памяти eToken сложные пароли (заданные вручную с учётом действующих в организации требований к их сложности, либо автоматически сгенерированные).

    В любом случае пароль перестаёт быть «слабым» (исключается риск его подбора злоумышленником), при возможной смене пароля пользователем исключается риск задания им нового пароля, являющегося «слабым», пароль не вводится с клавиатуры (исключаются риски подсматривания пароля или его перехвата шпионским ПО), пользователь не должен помнить пароль (исключаются случаи его забывания и записывания на бумаге).

    Усиление безопасности при использовании паролей. Даже если для входа на компьютер и в сеть Windows используются пароли, то с помощью eToken Network Logon можно значительно усилить защищённость существующей системы. Имена и пароли пользователей можно сохранить в памяти eToken (что исключит риск их подсматривания злоумышленником). Дополнительно можно использовать встроенный в eToken Network Logon генератор паролей для генерации сложных паролей (это исключит риск их подбора злоумышленником). Сгенерированный пароль записывается в память eToken и сохраняется в ней. Количество наборов «имя пользователя – пароль», хранящихся в памяти eToken, неограниченно.

    Простой переход к аутентификации с использованием цифровых сертификатов. При развёртывании инфраструктуры PKI появляется возможность использовать цифровые сертификаты для входа в сеть Windows и на локальный компьютер. Если в памяти eToken имеется сертификат пользователя со смарт-картой и соответствующий закрытый ключ, их можно использовать для входа в домен Windows вместо имени пользователя и пароля. Таким образом обеспечивается плавность перехода от парольной аутентификации к строгой аутентификации с использованием цифровых сертификатов.

    Автоматическая блокировка рабочей станции. При отсоединении eToken от порта USB происходит автоматическая блокировка компьютера. Для разблокирования компьютера необходимо подсоединить eToken и ввести пароль пользователя для eToken.

    Настройка методов аутентификации. Администратор может управлять методами аутентификации:

    • какие методы разрешены на данном компьютере — использование профилей, применение сертификатов;
    • какой метод аутентификации используется по умолчанию и может ли пользователь самостоятельно выбирать метод при наличии в памяти eToken как профилей, так и сертификата.

    Преимущества

    Отказ от ввода паролей вручную. Какой бы метод регистрации ни применялся, — использование хранимых в памяти eToken сертификатов или паролей, — при входе в систему пользователь никогда не вводит пароль. Это исключает риски подсматривания пароля или его перехвата при вводе с клавиатуры.

    Возможность применения длинных и сложных паролей. Поскольку пользователь не должен вводить пароль вручную, сам пароль может быть длиннее и сложнее, чем пользователь может запомнить.

    Использование сгенерированных случайных паролей, неизвестных пользователю. eToken Network Logon позволяет генерировать пароли заданной длины, сохранять их в памяти eToken и подставлять в хранилище учётных данных таким образом, что пользователь даже не знает своего пароля, а потому не может записать и тем самым скомпрометировать его.

    Аппаратная аутентификация пользователей. Для входа в систему пользователю надо иметь eToken. Это надёжнее, чем ввод паролей с клавиатуры.

    Двухфакторная аутентификация. eToken Network Logon позволяет не просто сохранить реквизиты пользователя в памяти eToken, но и защитить их паролем пользователя eToken. При использовании этой возможности потеря или кража eToken не приведёт к компрометации пароля.

    Интеграция в инфраструктуру открытых ключей. eToken Network Logon поддерживает не только системы, в которых для аутентификации пользователей применяются пароли, но и более надёжный и современный метод регистрации с использованием смарт-карт.

    Простота и удобство для пользователей. Способы аутентификации, применяемые в eToken Network Logon, удобнее для пользователей, чем стандартные способы.

    Требования к сложности паролей пользователя eToken не столь высоки, как требования к сложности паролей Windows. Поэтому при двухфакторной аутентификации вводить простой пароль пользователя eToken проще, чем без таковой вводить сложный и длинный пароль.

    Улучшенный интерфейс при регистрации с использованием смарт-карт. Если eToken пользователя подключен к компьютеру, необязательно отключать его и подключать вновь. eToken Network Logon позволяет в таком случае нажать CTRL+L, ввести пароль пользователя eToken и войти в систему, не прикасаясь к eToken.

    Эксклюзив

    eToken Network Logon — универсальный продукт, который можно использовать на изолированном компьютере, в небольшой рабочей группе, в простой или сложной доменной инфраструктуре. В каждой среде eToken Network Logon предоставляет наилучший с точки зрения безопасности и удобства способ аутентификации.

    eToken Network Logon можно интегрировать с eToken TMS (Token Management System), системой управления жизненным циклом USB-ключей и смарт-карт. Это позволит управлять сертификатами и профилями централизованно.

    Сертифицированная версия

    Сертифицированная версия eToken Network Logon может использоваться в ИСПДн до 1 класса включительно и для создания автоматизированных систем до класса защищенности 1Г включительно.

    источник

    Как при помощи токена сделать Windows домен безопаснее? Часть 1

    Кто-то из вас наверняка слышал про инцидент , который был обнародован совсем недавно. Американский производитель полупроводников Allegro MicroSystem LLC подал в суд на своего бывшего IT-специалиста за саботаж. Нимеш Пател, проработавший в компании 14 лет, уничтожил важные финансовые данные в первую неделю нового фискального года.

    Через две недели после своего увольнения Пател зашел на территорию штаб-квартиры компании в Вустере (штат Массачусетс, США) с целью поймать корпоративную сеть Wi-Fi. Используя учетные данные бывшего коллеги и рабочий ноутбук, Пател авторизовался в корпоративной сети. Затем он внедрил в модуль Oracle код и запрограммировал его выполнение на 1 апреля 2016 года — первую неделю нового финансового года. Код предназначался для копирования определенных заголовков или указателей в отдельную таблицу базы данных и следующего удаления их из модуля. Ровно 1 апреля данные были удалены из системы. И поскольку злоумышленник авторизовался в сети Allegro легально, его действия были замечены не сразу.

    Читайте также:  Установка и настройка эмулятора на ресиверах

    Подробности широкая общественность не знает, но скорее всего инцидент стал возможен во многом благодаря тому, что в компании для доступа в сеть использовалась парольная аутентификация. Наверняка там были и другие проблемы с безопасностью, но именно пароль можно похитить незаметно для пользователя и факт кражи пароля не будет обнаружен, в лучшем случае вплоть до момента использования похищенных учетных данных.

    Применение строгой двухфакторной аутентификации и запрет на использование паролей в сочетании с грамотной политикой безопасности могли бы помочь, если не избежать описанного развития событий, то сильно затруднить реализацию такого плана.

    Мы расскажем о том, как можно значительно повысить уровень безопасности вашей компании и защитить себя от подобных инцидентов. Вы узнаете, как настроить аутентификацию и подпись важных данных, используя токены и криптографию (как иностранную, так и отечественную).

    В первой статье мы объясним как настроить строгую двухфакторную аутентификацию с использованием PKI при входе в доменную учетную запись в Windows.

    В следующих статьях мы расскажем вам, как настроить Bitlocker, защитить электронную почту и простейший документооборот. Также мы вместе с вами настроим безопасный доступ к корпоративным ресурсам и безопасный удаленный доступ по VPN.

    Двухфакторная аутентификация

    Опытным системным администраторам и службам безопасности хорошо известно, что пользователи крайне не сознательны в вопросе соблюдения политик безопасности, они могут записать свои учетные данные на стикере и приклеить его рядом с компьютером, передать пароли своим коллегам и тому подобное. Особенно часто это происходит, когда пароль сложный (содержащий более 6 знаков и состоящий из букв разного регистра, цифр и специальных символов) и его трудно запомнить. А ведь такие политики администраторами задаются не просто так. Это необходимо для защиты учетной записи пользователя от простого перебора паролей по словарю. Также администраторы рекомендуют менять пароли хотя бы раз в 6 месяцев, просто из того соображения, что за это время теоретически можно отбрутфорсить даже сложный пароль.

    Давайте вспомним, что такое аутентификация. В нашем случае это процесс подтверждения подлинности субъекта или объекта. Аутентификация пользователя — это процесс подтверждения подлинности пользователя.

    А двухфакторная аутентификация — это такая аутентификация, в которой необходимо использовать не менее двух различных способов для подтверждения своей личности.

    Простейшим примером двухфакторной аутентификации в реальной жизни является сейф с замком и кодовой комбинацией. Чтобы открыть такой сейф необходимо знать код и владеть ключом.

    Токен и смарт-карта

    Наверно, самым надежным и простым в реализации способом двухфакторной аутентификации является использование криптографического токена или смарт-карты. Токен — это USB-устройство, которое является и считывателем, и смарт-картой одновременно. Первым фактором в таком случае является факт владения устройством, а вторым — знание его PIN-кода.

    Использовать токен или смарт-карту, тут кому, что удобнее. Но исторически так сложилось, что в России больше привыкли использовать токены, так как они не требуют использования встроенных или внешних считывателей смарт-карт. У токенов есть и свои минусы. Например, на нем не напечатаешь фотографию.

    На фотографии изображена типичная смарт-карта и считыватель.

    Однако вернемся к корпоративной безопасности.

    А начнем мы с домена Windows, ведь в большинстве компаний в России корпоративная сеть построена именно вокруг него.

    Как известно, политики Windows-домена, настройки пользователей, настройки групп в Active Directory предоставляют и разграничивают доступ к огромному количеству приложений и сетевых сервисов.

    Защитив учетную запись в домене, мы можем защитить большинство, а в некоторых случаях и вообще все внутренние информационные ресурсы.

    Почему двухфакторная аутентификация в домене по токену с PIN-кодом безопаснее обычной парольной схемы?

    PIN-код привязан к определенному устройству, в нашем случае к токену. Знание PIN-кода само по себе ничего не дает.

    Например, PIN-код от токена можно диктовать по телефону другим лицам и это ничего не даст злоумышленнику, если вы достаточно бережно относитесь к токену и не оставляете его без присмотра.

    С паролем же ситуация совершенно иная, если злоумышленник подобрал, угадал, подсмотрел или еще каким-то образом завладел паролем от учетной записи в домене, то он сможет беспрепятственно зайти, как в сам домен, так и в другие сервисы компании, в которых используется эта же учетная запись.

    Токен является уникальным некопируемым физическим объектом. Им обладает легитимный пользователь. Двухфакторную аутентификацию по токену можно обойти только тогда, когда администратор намеренно или по недосмотру оставил для этого «лазейки» в системе.

    Преимущества входа в домен по токену

    PIN-код от токена проще запомнить, так как он может быть намного проще пароля. Каждый наверняка хоть раз в жизни видел, как «опытный» пользователь мучительно не может с нескольких попыток аутентифицироваться в системе, вспоминая и вводя свой «безопасный» пароль.

    PIN-код не обязательно постоянно менять, так как токены более устойчивы к перебору PIN-кодов. После некоторого числа неудачных попыток ввода, токен блокируется.

    При использовании токена для пользователя вход в систему выглядит следующим образом: после загрузки компьютера, он просто подключает токен к USB-порту компьютера, вводит 4-6 цифр и нажимает кнопку Enter. Скорость ввода цифр у обычных людей выше, чем скорость ввода букв. Поэтому PIN-код вводится быстрее.

    Токены позволяют решить проблему «брошенного рабочего места» — когда пользователь уходит со своего рабочего места и забывает выйти из своей учетной записи.

    Политика домена может быть настроена таким образом, чтобы компьютер автоматически блокировался при извлечении токена. Также токен может быть оснащен RFID-меткой для прохода между помещениями компании, поэтому не забрав токен со своего рабочего места, сотрудник просто не сможет перемещаться по территории.

    Недостатки, куда же без них

    Токены или смарт-карты не бесплатные (решается бюджетом).

    Их нужно учитывать, администрировать и обслуживать (решается системами управления токенами и смарт-картами).

    Некоторые информационные системы могут «из коробки» не поддерживать аутентификацию по токенам (решается системами типа Single Sign-On — предназначенными для организации возможности использования единой учетной записи для доступа к любым ресурсам области).

    Настройка двухфакторной аутентификации в домене Windows

    Служба каталога Active Directory поддерживает возможность аутентификации с помощью смарт-карты и токена, начиная с Windows 2000. Она заложена в расширении PKINIT (public key initialization — инициализация открытого ключа) для протокола Kerberos RFC 4556 .

    Протокол Kerberos был специально разработан для того, чтобы обеспечить надежную аутентификацию пользователей. Он может использовать централизованное хранение аутентификационных данных и является основой для построения механизмов Single Sing-On. Протокол основан на ключевой сущности Ticket (билет).

    Ticket (билет) является зашифрованным пакетом данных, который выдается доверенным центром аутентификации, в терминах протокола Kerberos — Key Distribution Center (KDC, центр распределения ключей).

    Когда пользователь выполняет первичную аутентификацию после успешного подтверждения его подлинности, KDC выдает первичное удостоверение пользователя для доступа к сетевым ресурсам — Ticket Granting Ticket (TGT).

    В дальнейшем при обращении к отдельным ресурсам сети, пользователь, предъявляет TGT, получает от KDC удостоверение для доступа к конкретному сетевому ресурсу — Ticket Granting Service (TGS).

    Одним из преимуществ протокола Kerberos, обеспечивающим высокий уровень безопасности, является то, что при любых взаимодействиях не передаются ни пароли, ни значения хеша паролей в открытом виде.

    Читайте также:  Установка безопасности для папки

    Расширение PKINIT позволяет использовать двухфакторную аутентификацию по токенам или смарт-картам на этапе предаутентификации Kerberos.

    Вход в систему может быть обеспечен, как при использовании службы каталога домена, так и локальной службы каталога. TGT создается на основе электронной подписи, которая вычисляется на смарт-карте или токене.

    Все контроллеры доменов должны иметь установленный сертификат Domain Controller Authentication, или Kerberos Authentication, т. к. реализуется процесс взаимной аутентификации клиента и сервера.

    Сделаем так, чтобы в домен под вашей учетной записью можно было зайти только по предъявлению токена и зная PIN-код.

    Для демонстрации мы будем использовать Рутокен ЭЦП PKI производства компании «Актив».

    1 Этап — Настройка домена Первым делом установим службы сертификации.

    Эта статья не является туториалом по внедрению корпоративного PKI. Вопросы проектирования, разворачивания и грамотного применения PKI тут не рассматриваются ввиду необъятности этой темы.

    Все контроллеры доменов и все клиентские компьютеры в рамках леса, где осуществляется внедрение такого решения, обязательно должны доверять корневому Удостоверяющему Центру (Центру Сертификации).

    Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

    Технически центр сертификации реализован как компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

    Удостоверяющий центр, выдающий сертификаты для использования смарт-карт или токенов, должен быть помещен в хранилище NT Authority.

    Зайдите в Диспетчер сервера и выберите «Добавить роли и компоненты».

    При добавлении ролей сервера выберите «Службы сертификации Active Directory» (Microsoft категорически рекомендует не делать это на контроллере домена, дабы не огрести проблем с производительностью). В открывшемся окне выберите «Добавить компоненты» и выберите пункт «Центр сертификации».

    На странице для подтверждения установки компонентов нажмите «Установить».

    2 Этап — Настройка входа в домен с помощью токена

    Для входа в систему нам понадобится сертификат, который содержит идентификаторы Smart Card Logon и Client Authentication.

    Сертификат для смарт-карт или токенов также должен содержать UPN пользователя (суффикс имени участника-пользователя). По умолчанию суффиксом имени участника-пользователя для учетной записи является DNS-имя домена, которое содержит учетную запись пользователя.

    Сертификат и закрытый ключ должны быть помещены в соответствующие разделы смарт-карты или токена, при этом закрытый ключ должен находиться в защищенной области памяти устройства.

    В сертификате должен быть указан путь к точке распространения списка отзыва сертификатов (CRL distribution point). Такой файл содержит список сертификатов с указанием серийного номера сертификата, даты отзыва и причины отзыва. Он используется для передачи сведений об отозванных сертификатах пользователям, компьютерам и приложениям, пытающимся проверить подлинность сертификата.

    Настроим установленные службы сертификации. В правом верхнем углу нажмите на желтый треугольник с восклицательным знаком и щелкните «Настроить службы сертификации…».

    В окне «Учетные данные» выберите необходимые учетные данные пользователя для настройки роли. Выберите «Центр сертификации».

    ЦС предприятия интегрированы с AD. Они публикуют сертификаты и списки отзыва сертификатов в AD.

    На следующем этапе выберите «Создать новый закрытый ключ».

    Выберите период действия сертификата.

    3 этап — Добавление шаблонов сертификатов

    Для добавления шаблонов сертификатов откройте Панель управления, выберите пункт «Администрирование» и откройте Центр сертификации.

    Щелкните по названию папки «Шаблоны сертификатов», выберите пункт «Управление».

    Щелкните по названию шаблона «Пользователь со смарт-картой» и выберите пункт «Скопировать шаблон». На следующих скриншотах показано, какие параметры в окне «Свойства нового шаблона» необходимо изменить.

    Если в списке поставщиков нет «Aktiv ruToken CSP v1.0», то необходимо установить комплект «Драйверы Рутокен для Windows».

    Начиная с Windows Server 2008 R2 вместо специального провайдера от производителя можно использовать «Microsoft Base Smart Card Crypto Provider».

    Для устройств Рутокен библиотека «минидрайвера», поддерживающая «Microsoft Base Smart Card Crypto Provider», распространяется через Windows Update.

    Проверить установился ли «минидрайвер» на вашем сервере можно подключив Рутокен к нему и посмотрев в диспетчер устройств.

    Если «минидрайвера» по каким-то причинам нет, его можно установить принудительно, инсталлировав комплект «Драйверы Рутокен для Windows», а после этого воспользоваться «Microsoft Base Smart Card Crypto Provider».

    Комплект «Драйверы Рутокен для Windows» распространяется бесплатно с сайта Рутокен .

    Добавьте два новых шаблона «Агент сертификации» и «Пользователь с Рутокен».

    Для этого выйдите из окна «Управления шаблонами». Нажмите правой кнопкой мыши на «Шаблоны сертификатов» и выберите пункт меню «Создать» и подпункт «Выдаваемый шаблон сертификата».


    Далее выберите «Агент регистрации» и «Пользователь с Rutoken» и нажмите «ОК».

    В результате названия этих шаблонов отобразятся в центре сертификации.

    Далее нам необходимо выписать сертификат администратору домена. Откройте службу «Выполнить» и укажите команду mmc. Добавьте оснастку «Сертификаты».

    В окне «Оснастки диспетчера сертификатов» выберите «моей учетной записи пользователя». В окне «Добавление и удаление оснастки» подтвердите добавление сертификатов.

    Выберите папку «Сертификаты».

    Запросите новый сертификат. Откроется страница для регистрации сертификата. На этапе запроса сертификата выберите политику регистрации «Администратор» и нажмите «Заявка».

    Таким же образом запросите сертификат для Агента регистрации.

    Чтобы запросить сертификат для определенного пользователя щелкните «Сертификаты», выберите пункт «Зарегистрироваться от имени. ».

    В окне для запроса сертификата установите флажок «Пользователь с Рутокен».

    Теперь необходимо выбрать пользователя.

    В поле «Введите имена выбранных объектов» укажите имя пользователя в домене и нажмите «Проверить имя».

    В окне для выбора пользователя нажмите «Заявка».

    В раскрывающемся списке выберите имя токена и укажите PIN-код.

    Таким же образом выберите сертификаты для других пользователей в домене.

    4 этап — Настройка учетных записей пользователей

    Для настройки учетных записей откройте список пользователей и компьютеров AD.

    Выберите папку Users и пункт «Свойства».

    Перейдите на вкладку «Учетные записи», установите флажок «Для интерактивного входа в сеть нужна смарт-карта».

    Настройте политики безопасности. Для этого откройте Панель управления и выберите пункт «Администрирование». Откройте меню для управления групповой политикой.

    В левой части окна «Управление групповой политикой» щелкните «Default Domain Policy» и выберите пункт «Изменить».

    В левой части окна «Редактор управления групповыми политиками» выберите пункт «Параметры безопасности».

    Откройте политику «Интерактивный вход в систему: требовать смарт-карту».

    На вкладке «Параметры политики безопасности» установите флажки «Определить следующий параметр политики» и «Включен».

    Откройте политику «Интерактивный вход в систему: поведение при извлечении смарт-карты».

    На вкладке «Параметры политики безопасности» установите флажок «Определить следующий параметр политики», из раскрывающегося списка выберите «Блокировка рабочей станции».

    Перезагрузите компьютер. И при следующей попытке аутентификации в домене уже можно будет использовать токен и его PIN-код.

    Двухфакторная аутентификация для входа в домен настроена, а значит существенно повышен уровень безопасность для входа в Windows домен без траты безумной суммы на дополнительные средства защиты. Теперь без токена вход в систему невозможен, а пользователи могут вздохнуть спокойно и не мучиться со сложными паролями.

    Следующий шаг — безопасная почта, об этом и о настройке безопасной аутентификации в других системах читайте в наших следующих статьях.

    источник