Cu cât este mai mare valoarea informațiilor la care utilizatorul are acces, cu atât mai bine aceste informații sunt protejate. Cel puțin așa ar trebui să fie. În practică, foarte des în domeniul diferențierii drepturilor utilizatorilor - o dezamăgire completă. Primul pas în ordonarea comenzii este atribuirea fiecărui utilizator un cont unic în sistem și eliminarea posibilității de conectare sub un alt nume. În primul rând, ne spune utilizatorilor să elimine parolele goale (în cazul în care în acest moment nu au interzis încă politica), iar utilizatorii cu persoane oneste expune parole cum ar fi „1234“ sau „Anul nașterii“. Apoi, atribuiți cerințele de politică pentru o parolă de complexitate (de exemplu, șase caractere, trebuie să aibă registre diferite - de exemplu, aB1234) - utilizatorii ca o echipa scrie parolele pe bucăți de hârtie și mucegai pe monitoare. Acest lucru epuizează posibilitățile metodei "ce știu" pentru autentificarea utilizatorilor. O altă opțiune este folosirea metodei "ce am", care este o amprentă digitală, retina ochiului (care este încă prea exotică) sau un dispozitiv. Un exemplu de astfel de dispozitiv sunt produsele familiei eToken ale companiei ruse Aladdin.
Token-urile pot fi folosite nu numai pentru a organiza o autentificare sigură, ci și pentru a bloca computerul în timp ce utilizatorul este departe. Cea mai simplă modalitate de a face acest lucru este în organizațiile care utilizează etichete RFID pentru a deschide încuietori pe ușă. Trebuie doar să comandați jetoane cu o etichetă încorporată. În acest caz, utilizatorul, deplasându-se departe de computer, va fi forțat să ia cu el jetonul, ceea ce duce automat la blocarea stației de lucru (cu setarea corespunzătoare a politicii de grup).
Deci, pentru a organiza o intrare în domeniu utilizând un jeton, aveți nevoie de:
- Extindeți CA de pe controlerul de domeniu;
- Instalați un jeton software liber (clientul eToken PKI) pe mașinile utilizator;
- Inițializați jetoanele;
- Configurați jetoanele.
Când organizați o intrare într-un grup de lucru, trebuie:
- Achiziționați software-ul eToken Windows Logon (licența costă aproximativ 300 de ruble pentru fiecare organizație);
- Instalați un jeton free token (eToken PKI client), eToken Windows Logon la mașinile utilizator;
- Inițializați jetoanele;
- Configurați tokenul pentru a vă conecta la fiecare mașină (configurația va fi valabilă numai pentru această mașină).
Desfășurarea autorității de certificare.
Instalarea software-ului pe mașinile client
Descărcați clientul eToken PKI de pe site-ul producătorului. Pentru a face acest lucru, mergeți la secțiunea de descărcare. Atenție vă rog! Nu utilizați produsul RTE - este o versiune depășită, formatul criptontainer al tokenului nu este compatibil cu noua ramură client PKI. Prima versiune a clientului PKI (4.5) a avut glitches mici (mici asociate cu interfața, precum și scurgeri de memorie cu interfața extinsă), care nu sa oprit să-l utilizați în volum maxim. Instalarea produsului nu provoacă probleme. De fapt, trebuie doar să selectați limba interfeței de utilizator. Formatul pachetului de instalare (msi) vă permite să instalați produsul de la distanță pe mai multe mașini de domeniu. În grupul de lucru, trebuie să instalați, de asemenea, eToken WinLogon
Inițializarea jetoanelor.
Inițializarea se realizează utilizând clientul eToken PKI. Faceți clic dreapta pe pictograma aplicației din bara de sistem și selectați opțiunea "Deschideți proprietățile eToken". În fereastra care se deschide, faceți clic pe "Avansat", apoi selectați un jeton atașat la computer în arborele elementelor, iar în meniul contextual faceți clic pe "Format".
De asemenea, puteți să faceți clic pe butonul "Initialize eToken". În fereastra care se deschide, introduceți numele jeton (folosesc PODRAZDELENIE_OTDEL_INITSIALY de notificare), PIN-ul de utilizator, numărul de încercări nereușite de a introduce un cod PIN pentru a bloca dispozitivul. De asemenea, este necesar să introduceți o parolă administrativă, care, deși nu permite să introduceți numele de utilizator, va permite tokenul să fie deblocat sau reinițializat. Parola administrativă (cu atât mai lungă, cu atât mai bună) poate fi setată la aceeași valoare pentru toate jetoanele.
Configurația jetoanelor pentru domeniu.
Totul, puteți emite un jeton pentru utilizator. Tokenul va fi valabil pentru conectarea la orice mașină de domeniu.
Configurarea jetonului pentru grupul de lucru.
Aplicația WinLogon înlocuiește biblioteca de interfață standard de conectare în windows msgina.dll.
Deschideți managerul de profil "Programe-eToken-eToken Windows Logon-Profile Creation Wizard", faceți clic pe "Next". În fereastra următoare, trebuie să selectați numele utilizatorilor din sistem și computerul din rețea pentru care acest token este valid. Dacă computerul face parte dintr-un domeniu, atunci lista "Log in to" va consta din două elemente, cu numele de domeniu corespunzător pentru a intra în domeniu și numele computerului din rețea - pentru conectare locală. În fereastra următoare, trebuie să alegeți tipul de autentificare - autentificarea cu un factor (trebuie doar să introduceți un jeton în sistem) sau autentificarea cu două factori (trebuie să introduceți și codul PIN al jetonului). Apoi trebuie să specificați parola care va fi stocată în memoria token și prezentată sistemului la boot pentru numele de utilizator specificat pentru primul pas. În această fereastră, este de asemenea posibil să înlocuiți parola curentă a utilizatorului cu un program generat automat (lungimea parolei este reglabilă). În funcție de utilizatorul în care este pornită asistentul, este posibil să fie necesar să introduceți parola de utilizator curentă în sistem. După introducerea parolei, trebuie să faceți clic pe butonul "Următorul", iar în fereastra următoare - "Finish".
În fereastra care se deschide, trebuie să selectați un simbol pe care va fi înregistrat profilul Logon Windows și introduceți codul PIN al acestui simbol, apoi faceți clic pe butonul "OK".
Comentarii:
Trimiteți-le prietenilor: