Vritual smart card

From ICO wiki
Jump to navigationJump to search

Autor : Andres Ivanov A22

Virtual Smart Card paigaldus AD'le


Mis login meetod on turvalisem?

Tavaline parooli kasutus logimiseks on küll turvaline. Kuid selle probleemiks on see, et juhul, kui parool on kompromiteeritud, siis kasutaja jaoks on raske aru saada, et keegi teine teab parooli. Ja sellepärast saab häkker mõne aja jooksul kasutada vabalt süsteemi selle kompromiteeritud parooliga.

Sellepärast on turvalisem kasutada logimiseks VSCd. Smart Card ehk kiipkaart on füüsiline autentimise seade, mis parooliga erinevalt eeldab seda, et sisselogijal on SC kaasas koos PINiga selleks, et kasutada SC autentimist. Kiipkaardil on kolm peamist omadust, mis aitavad säilitada selle turvalisust:

  • Non-exportability - Infot kaardi pealt ei saa eksportida ja kasutada kuskil mujal.
  • Isoleeritud krüptograafia - Kõik krüpteerimisega seotud operatsioonid on teostatud kiipkaardi peal oleval krüptoprotsessoril, nii, et arvuti pealt ei saa seda jälgida.
  • Anti-hammering - Selles, et vältida kaardile pääsemist brute-force abil, on kaardil mehhanism, mis paneb kaardi lukku peale kindlat arvu ebaõnnestunud PIN koode.

SC on palju turvalisem meetod logimiseks kui tavaline parool, aga kahjuks toob see täiendavaid kulusid ja lisamaterjale. Tavaline kiipkaart oleks liiga kallis igalpool kasutamiseks.


Mis on VSC?

Eelnevate probleemide lahendamiseks on Microsoft töötanud välja tehnoloogia, mis taga turvalisuse nagu tavaline kiipkaart, aga vähendab kulusid selle kasutamiseks. VSC ehk virtuaalne kiipkaart. Selleks, et emuleerida SC tegevust ja selle omadusi, kasutab VSC tehnoloogia uutel arvutitel olemasolevat TPM ehk Trusted Platform Module kiipi. Seda tehnoloogiat võib leida peaaegu kõikidel uuemate arvutite emaplaatidel, alates aastast 2006.


SC ja VSC erinevus

Tavaline Virtual Card TPM Virtual Smart Card
Kaitseb private key´d sisseehitatud protsessori abil. Kaitseb private key´d TPM kiibi abil.
Hoiab private key´d isoleeritult kaardi peal ja ligipääsu nendele saab ainult läbi kaardi. Hoiab private key´d kõvakettal. Krüpteering tagab seda, et krüpteerida ja dekrüpteerida neid saab ainult TPM abil.
Non-exportability garanteeritud kaardi valmistaja poolt. Non-exportability garanteeritud TPM kiibi tootja poolt.
Krüptoalgoritmilised operatsioonid on isoleeritud ja teostatud kaardi peal. Krüptoalgoritmilised operatsioonid on isoleeritud ja teostatud TPM poolt.
Anti-hammering on tagatud kaardi enda poolt, pärast kindla vale PIN arvu paneb kaard ennast lukku. Anti-hammering on tagatud TPM poolt. Valed PIN'id tõstavad ooteaja millal kasutaja saab jälle proovida logimist kaardiga. Seda saab muuta süsteemi administraator.
Kasutaja peab kaasas kandma kaardi ja kaardilugeja, selleks, et logida sisse sealt kus on vaja. Kasutajal ei ole vaja rohkem kui TPM võimaldavad arvutit.
Andmeid saab kasutada mujal, siis kui kannad kaasas kaardi ja -lugeja. Andmeid ei saa kasutada mujal. Aga VSC'd saab sättida kasutamiseks mitmes arvutis, kasutades täiendavaid sertifikaate.
Erinevad kasutajad saavad kasutada ühte arvutit, kasutades enda kaarti. Erinevad kasutajad saavad kasutada ühte arvutit, kui neil on olemas VSC antud TPM poolt sellel kindlal arvutil.
SC on kaasaskantav seade selleks, et logida turvaliselt sisse. Saab lihtsasti unustada seda valesse kohta või kaotada. VSC on installitud arvutil, mida kasutaja kasutab ka teisteks asjadeks. Seda oleks suht raske ära kaotada.
Kui on varastatud või kaotatud, kasutaja saab sellest aru ainult siis, kui proovib sisse logida. Kuna VSC on installitud arvutil, mida kasutaja kasutab ka teisteks asjadeks, siis selle ununemisest või varastamisest saab ta teada palju kiiremini.


VSC paigaldus Windows Serverile

Selleks et paigaldada TPMiga VSC tuleb teha järgmist:

Valmistage sertifikaadi template'i

1) Enda serveril ava Microsoft Management Console (MMC). Seda saad teha kirjutades mmc stardi menüüs.

2) Vali File -> Add/Remove Snap-in.

3) Snap-in loendis valige Certificate Templates ja lisage see.

4) Sertifikaadi template'i nüüd asub Console Root all MMC aknas. Avage see, et näha kõik olemasolevat Sertifikaatide template'id

5) Parem hiireklõpsuga valige Smartcard Logon ja sealt valige Duplicate Template

6) Avaga Compability aken Certificate Authority all ja valige Windows Server 2003.

7) Aknas General

a. Valige nimi nagu TMP Virtual Smart Card Logon

b. Valige sobiv kehtivusaeg

8) Aknas Request Handling

a. Purpose all valige Signature and smartcard logon

b. Klõpsake Prompt the user during enrollment

9) Aknas Cryptography

a. Valige miinimum võti suurus 2048

b. Klõpsake Requests must use one of the following providers ja selle all valige Microsoft Base Smart Card Crypto Provider

10) Security akna all valige grupp, kellele te tahate anda SVC kasutamise õigust. Kui tahate anda kõikidele useritele, siis valige Authenticated Users grupp.

11) Klõpsake OK, et teha valmis uus Template, teie uus Template peaks nüüd olema listis nähtav.

12) Nüüd samas MMC konsoolis valige Certification Authority snap-in.

13) MMC konsooli vasakus servas valige Certification Authority(Local)

14) Parema nuppuga klõpsake Certificate Templates ja sealt valige New -> Certificate Template to Issue.

15) Listist valige Template mida te alles tegite, TPM Virtual Smart Card Logon, ja valige OK.

16) Peale seda kui Template on ennast replicate'inud, restartige CA. Selleks right click'ige CA akna Cerification Authority all MMC's ja valige All Tasks -> Stop Service. Peale seda right click'ige jälle ja valige All Tasks -> Start Service.


Valmistage TPM virtual smart card

1) Domeeniga ühendadut arvutil, mis jookseb Windows 8 peal, avage CMD Adminni õigustega. Selleks Start menüüs kirjutage cmd, right click'ige ikoon ja valige Run as administrator.

2) CMD's kirjutage järgmist ja vajutage enter:

tpmvscmgr.exe  create /name tpmvsc /pin default /adminkey random /generate

See loob VSC nimega TestVSC, jättes välja unlock'i ja genereerib failisüsteemi kaardil.

3) Pärast seda sinult küsitakse PIN'i. Sisestage PIN mis on vähemalt 8 märki pikk.

4) Oodake natukene kuni protsess lõpetab. Siis kui protsess saab valmis, teile näidatakse seade ID'd, TPM VSC jaoks. Jätke see meelde, juhul kui teil on vaja midagi muuta või kustutada VSC.


Registreerige login sertifikaat VSC jaoks

1) Avage Certificate's konsool. Selleks kirjutage certmgr.msc Start menüüs.

2) Parem nuppuga klõpsake Personal ja valige All Tasks -> Request New Certificate.

3) Võimalike Template'ide listis valige Template mida te hiljuti tegite, TPM Virtual Smart Card Logon.

4) Juhul kui küsitakse seade, valige Microsofti virtual smart card mida te tegite valmis varem. See näeks välja nagu Identity Device (Microsoft Profile).

5) Sisestage PIN mida te valisite varem valmistates TPM VSC kaardi.

6) Registreerimise lõpetamisel, vajutage Finish.

Nüüd te saate kasutada VSC Logon option'i teiste option'ite seas. Testimiseks, logige arvutist välja ja jälle sisse.