Существуют различные технические решения, которые позволяют аутентифицировать пользователя, не прибегая к вводу пароля, например, по каким-либо биометрическим показателям. Но наиболее используемым на практике методом является аутентификация на основе смарт-карты.

Смарт-карта представляет собой устройство, на которое можно с помощью специальных считывателей записывать (и считывать) информацию. Обычно на смарт-карте сохраняется сертификат пользователя, предназначенный для аутентификации его в системе. Чтобы сертификат не мог быть использован злоумышленником, он защищается специальным кодом - PIN-кодом. PIN-код - это не пароль пользователя в системе, это только защита на случай утери или кражи смарт-карты. Он не передается по сети (поэтому не может быть перехвачен анализаторами трафика) и используется только локально для доступа к сертификату. Поэтому он может быть достаточно коротким и удобным для запоминания.

В зависимости от объема памяти на карте, на нее принципиально можно записать несколько сертификатов, что позволит использовать смарт-карту для различных целей (например, вход пользователя в различные системы, хранение сертификатов для электронных подписей и т. п.).

Примечание Поскольку в смарт-картах применяются сертификаты пользователей, то в организации должна быть развернута структура PKI (Public Key Infrastructure, инфраструктура открытых ключей) и опубликованы шаблоны сертификатов для аутентификации пользователей с помощью смарт-карт.

Существуют две возможности записи сертификата пользователя на смарт-карту. Первая - это выполнение операции самим пользователем. В этом случае пользователь должен предварительно войти в систему, используя свой сетевой пароль, после чего начать операцию получения сертификата для аутентификации с помощью смарт-карты. Недостаток этого варианта состоит в необходимости первоначального входа в систему с обычным паролем.

Второй способ предполагает выдачу сертификата администратором. Для этого на компьютер, на котором будет выполняться эта операция, необходимо установить специальный сертификат для выдачи сертификатов пользователям. Его принято называть enroll agent. Для этого необходимо опубликовать соответствующий шаблон на центре сертификатов и установить сертификат на компьютер. По умолчанию правом установки такого сертификата обладают только администраторы системы. Чтобы выдать сертификат пользователю смарт-карты в этом случае, необходимо начать операцию запроса сертификата, указав в опциях тип запрашиваемого сертификата - enroll agent. Далее на очередном шаге следует выбрать соответствующего пользователя из списка.

Смарт-карта может использоваться и для входа в удаленную систему в режиме терминального доступа. Такая возможность позволяет администратору не использовать свой сетевой пароль при операциях удаленного управления.

Смарт-карту можно использовать в любых операциях, требующих аутентификации пользователя. За некоторыми исключениями. Так, у автора не получалось использовать смарт-карту для аутентификации на других компьютерах при удаленной работе на терминальном сервере и т. д. Например, в операции Запустить от имени.... Для этого достаточно раскрыть список выбора пользователей в окне набора пароля, выбрать смарт-карту и набрать ее PIN-код (рис. 9.4).

В случае предъявления повышенных требований к безопасности администратор может наложить некоторые условия на использование смарт-карт. Так, можно разрешить локальный вход на конкретный компьютер только с использованием смарт-карты (устанавливается через локальную политику безопасности компьютера; кроме того, данное требование можно включить в групповую политику заданного подразделения). Аналогичное требование можно предъявить и к пользователю: разрешить ему работу в системе только с помощью смарт-карты. Это условие реализуется через параметры учетной записи.

Использование смарт-карты для аутентификации в операции Запустить от имени

Рис. 9.4. Использование смарт-карты для аутентификации в операции Запустить от имени..

Кроме того, можно определить действия, выполняемые системой при вытаскивании смарт-карты (например, автоматически блокировать компьютер или производить отключение пользователя). Эти параметры также настраиваются через групповую политику.

Блокировка учетной записи пользователя | Самоучитель системного администратора | Etoken


Самоучитель системного администратора



Новости за месяц

  • Сентябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс