###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Создаем usb ключ защиты средствами Windows. Обзор рынка средств многофакторной аутентификации

    30.10.2019 Проблемы

    Всем привет, продолжаем изучать безопасность компьютера. Ранее я вам рассказал как как взломать пароль sa в sql , сегодня наоборот расскажу как немного защититься. Сегодня мы научимся создавать usb ключ защиты средствами Windows, нужны они для доступа к компьютеру и если он не вставлен, то вас не пустит. На рынке много ПО, совсем не бесплатного, которое делает эту задачу, но зачем за что-то платить, когда все уже есть встроенное в Windows 🙂 , тем более у вас на это уйдет не так много времени.

    usb ключ для windows

    Давайте разберемся, что мы делаем и для чего. После всех проделанных действий у нас будет создан usb ключ для windows, из обычной флешки. Он будет выступать ключом входа в систему, если еще проще. Когда он вставлен в компьютер, то вы можете залогиниться, если нет, то не сможете войти, наличие пароля на вход не обязательно.

    Выберите флешку поменьше, так как на ней будет небольшой файл-ключик, зачем флешку так не рационально использовать, так как ей потом особо не попользуешься, да и вирусы могут попасть, если вы конечно не произвели Защиту флешки от вирусов . Может у вас найдется в закромах флеха на 2 гб, хотя это щас уже почти раритет.

    Нажимаем Win+R у вас откроется окно Выполнить. Введите в нем

    У вас откроется оснастка Управление дисками.

    Как видите у меня есть флешка 30 гб, у вас это может быть конечно другая 🙂 .

    Щелкаем по ней правым кликом и выбираем пункт Изменить букву диска или пусть к диску.

    Тут нам для флешки, а точнее будущего usb защитника, нужно изменить букву на А.

    Если у вас буква А занята, то поставьте тому устройству что ее использует другую букву

    У меня получилось вот так.

    Теперь нажимаем Win+R и вводим syskey

    У вас откроется окно Защита БД учетных записей Windows, тут вам нужно будет нажать обновить, для того чтобы сделать usb ключ для windows.

    Нажимаем кнопку обновить. В итоге у вас откроется окно Ключ запуска, в нем ставим переключатель на Хранить ключ запуска на дискете. Требуется вставлять дискету при запуске системы. Этим мы и делаем нашу флешку токеном для windows.

    Вас попросят подтвердить, что вы согласны с копирование ключа на нее.

    Как видим, все готово

    Посмотрим на его содержимое.

    В итоге у вас пропишется маленький файл размеров 8 кб, под именем StartKey

    Теперь перезагружаемся и видим, перед окном ввода логина и пароля вот такое сообщение.

    В данной конфигурации для запуска Windows требуется ключевая дискета Вставьте эту дискету и нажмите кнопку ОК.

    Нажимаем для примера кнопку ок, без флешки и видим следующее.

    Не найден файл ключа запуска на дискете, вставленной в привод А.

    Вставляем usb key для windows и логинимся. Как видите, двух факторная аутентификация работает нормально.

    Отключить все это можно теми же шагами, единственное в Окне ключ выберите пункт

    Хранить ключ запуска на локальном диске.

    Вам потребуется чтобы ваш usb ключ защиты был вставлен.

    Все теперь ключ храниться локально.

    U2F -открытый протокол, позволяющий производить универсальную 2-факторную аутентификацию, поддерживается браузером Chrome 38 и более поздних версий. U2F был разработан FIDO Alliance – альянсом компаний Microsoft, Google, Lenovo, MasterCard, Visa, PayPal и др. Работа протокола осуществляется без дополнительной установки драйверов в операционных системах Windows/Linux/MacOS. Сервисы Wordpress ,Google, LastPass поддерживают работу протокола. Рассмотрим все плюсы и минусы работы с .


    На фоне растущей популярности двухэтапной аутентификации, осуществляемой посредством звонка или отправки SMS-сообщения, возникает закономерный вопрос – насколько она удобна и есть ли у подобного способа аутентификации подводные камни?

    В качестве дополнительного способа проверки аутентификация с помощью звонка или отправки сообщения, конечно, очень удобна. Более того, такой способ доказал свою эффективность во многих случаях – так, он одинаково хорошо подойдет в качестве защитных мер против фишинга, автоматизированных атак, попыток подбора паролей, вирусных атак и т.д. Однако за удобством кроется опасность – если за дело возьмутся мошенники, привязка к телефонному номеру может сыграть против вас. Чаще всего аккаунт привязывается к указанному контактному номеру пользователя, первые или последние цифры которого может узнать каждый, если попытается выполнить восстановление доступа к аккаунту. Таким образом мошенники могут узнать ваш телефонный номер, после чего установить, на кого он оформлен. После получения информации о владельце мошенникам остается по поддельным документам в салоне оператора сотовой связи запросить перевыпуск SIM-карты. Полномочиями перевыпуска карт обладает любой сотрудник отделения, что позволяет мошенникам, получив SIM-карту с желаемым номером, войти в ваш аккаунт и совершать с ним любые манипуляции.


    Некоторые компании, например крупные банки, сохраняют не только номер телефона владельца, с ним сохраняется и уникальный идентификатор SIM-карты – IMSI, в случае изменения которого привязка номера телефона аннулируется и ее необходимо выполнить заново лично клиенту банка. Однако подобные сервисы недостаточно широко распространены. Для того чтобы узнать IMSI для любого номера телефона, можно отправить специальный HLR –запрос на сайте smsc.ru/testhlr.


    Современный с поддержкой двухэтапной аутентификации в браузере, который гарантирует дополнительную безопасность вашего аккаунта, вы можете приобрести в нашем интернет-магазине.

    Проблемы с паролями в больших офисах.
    Компьютеры проникли и продолжают проникать во многие отрасли. Многие заводы и большие компании внедряют у себя компьютерную технику и создают информационную инфраструктуру. На обучение персонала и на процесс перехода от бумажного документооборота к электронному тратятся большие средства. Контроль доступа к информационным ресурсам становится сложной задачей.
    Часто случается, что работники записывают пароли на бумажках, которые лежат на рабочих столах или приклеены к мониторам.

    Это повышает вероятность кражи конфиденциальной информации, или создает условия для нарушения доступа к важным данным.
    Люди занимаются своей работой, и никто не хочет забивать себе голову всякой чепухой наподобие "пароля к Windows" . В этом случае утечка и слабость паролей становится серьезной проблемой для сетевых администраторов и ответственных за информационную безопасность.


    Компании пытаются решать эту проблему с помощью электронных ключей - USB брелков, смарт-карт и других аппаратных аутентификаторов. При определенных условиях это решение оправдывает себя. А именно:
  • Когда процесс перехода с обычного метода аутентификации (по паролям) на двух-факторный метод (с помощью USB ключей) четко спланирован;
  • В компании есть квалифицированный персонал для обслуживания такой системы,
  • Со стороны производителя таких решений обеспечивается всесторонняя поддержка.

    Аутентификация с помощью USB flash drive.
    Проблемы с паролями и безопасностью, хотя и в меньшей степени, но все же актуальны и для обычных пользователей. Использование USB брелка или смарт-карты для входа в Windows на домашнем компьютере является скорее личным предпочтением, нежели насущной необходимостью.

    Аутентификация с помощью USB брелка или смарт-карты больше всего подходит для малых и средних офисов, а также для частных предприятий, на компьютерах руководящих работников. Наличие такого ключа к своему компьютеру здорово упрощает аутентификацию (доступ пользователя в Windows), хотя защита паролем присутствует.


    Для аутентификации в Windows лучше всего использовать обычный USB накопитель (flash drive).
    С помощью программы Вы можете убедиться в том, насколько удобно использование USB накопителя в качестве ключа для входа в Windows или для доступа к .

    С помощью USB flash drive?

    • Published on Февраль 3, 2009 by · Комментариев нет

    Если вы хотите прочесть следующую часть этой серии статей, перейдите по ссылке

    До настоящего момента пароли зачастую были предпочитаемым/требуемым механизмом аутентификации при получении доступа к незащищенным системам и данным. Но растущие запросы на более надежную защиту и удобство, без лишней сложности, способствуют развитию технологий аутентификации. В этой серии статей мы рассмотрим различные технологии многофакторной аутентификации, которые можно использовать в Windows. В первой части мы начнем с рассмотрения аутентификации, основанной на чипах.

    Когда пароль просто не подходит

    В 1956, Джорж A. Миллер написал отличную статью под названием «The Magical Number Seven, Plus or Minus Two: Some Limits on Our Capacity for Processing Information» – (Магическая цифра семь, плюс или минус два: Некоторые границы нашей возможности обработки информации). В этой статье рассказывается о тех ограничениях, которые мы, будучи людьми, испытываем, когда хотим запомнить определенную информацию. Один из выводов в этой работе гласит: среднестатистический человек способен запомнить семь (7) порций информации за раз, плюс/минус два (2). Другие ученые позже пытались доказать, что обычный человек способен запомнить лишь пять (5) порций информации за раз, и опять плюс/минус два (2). Как бы там ни было, если считать данную теорию верной, то она противоречит советам по длине и сложности паролей, которые можно прочесть в различных источниках, или которые можно услышать от различных людей с повышенной чувствительностью к безопасности.

    Часто говорится, что сложность – это одна из самых больших угроз для безопасности. Одна из областей, в которой можно наблюдать такую закономерность, это когда от пользователей и администраторов требуется соблюдение сложной политики паролей. Творческий подход и различные обходные методы, которые я иногда встречаю у пользователей и администраторов, когда они испытывают трудности с запоминанием своих паролей, не перестает меня удивлять. Но в то же время эта проблема практически всегда находится в пятерке первых в столе помощи. И теперь, когда Гартнер и Форрестер просчитали, что цена каждого звонка об утрате пароля в стол помощи стоит примерно $10 USD, легко провести анализ ценовой эффективности текущей политики паролей организации.

    Пароли, как единственный механизм аутентификации, вполне нормальны, если длина пароля составляет более 15 символов и включает хотя бы один символ не из английского алфавита. Ключевые фразы являются примерами длинных паролей, которые пользователям проще запоминать. Это позволит быть уверенным в том, что большинство атак (rainbow), включая 8-bit атаки, не увенчается успехом именно благодаря добавленной сложности, которую придают «иностранные» символы.

    Заметка: Начиная со времен Windows 2000, пароль может состоять из 127 символов.

    Однако причина, по которой пароли, как единственный механизм аутентификации, не эффективны, кроется в том, что пользователи плохо умеют подбирать и запоминать хорошие, надежные пароли. К тому же пароли зачастую не защищаются должным образом. К счастью, существуют решения безопасности, которые повышают безопасность и способствуют удобству, используя короткие, легкие для запоминания пароли.

    Аутентификация на основе чипов (Chip based authentication)

    Одним из таких решений безопасности является аутентификация на основе чипов, которую часто называют двухфакторной аутентификацией. Двухфакторная аутентификация использует комбинацию следующих элементов:

    1. То, что у вас есть, например смарт-карта или флэшка USB.
    2. То, что вы знаете, например личный идентификационный номер (PIN). PIN-код дает пользователю доступ к цифровому сертификату, хранящемуся на смарт-карте.

    На рисунке 1 показаны два разных решения, которые по сути являются представителями одной технологии. Откровенно говоря, основная разница заключается в цене и форме, хотя каждое решение может содержать дополнительные параметры, как мы скоро увидим.

    Пример смарт-карты, которая используется для удаленной аутентификации, аутентификации Windows,

    физического доступа и оплаты Пример флешки USB с аутентификацией, основанной на чипе, и флеш-памятью для хранения информации.. Рисунок 1: Два примера устройств с аутентификацией, основанной на чипе

    Смарт-карты, равно как и флэшки USB, имеют встроенный чип. Чип представляет собой 32-битный микропроцессор и обычно содержит 32KB или 64kb (EEPROM — электрически стираемая программируемая постоянная память) (RAM — ОЗУ) чип памяти, встроенный в смарт-карту или флэшку USB. На сегодняшний день существуют смарт-карты и флэшки USB, содержащие до 256KB оперативной памяти для надежного хранения данных.

    Заметка: Когда мы говорим о хранении в этой статье, мы имеем в виду хранение на встроенном защищенном чипе, а не на самом устройстве.

    Этот чип имеет маленькую ОС и немного памяти для хранения сертификатов, используемых для аутентификации. Эта ОС чипа у каждого производителя разная, поэтому вам необходимо использовать службу CSP (Cryptographic Service Provider) в Windows, которая поддерживает ОС чипа. Мы рассмотрим службу CSP в следующей статье. Решение на основе чипа имеет определенные преимущества по сравнению с другими решениями многофакторной аутентификации, так как его можно использовать для хранения сертификатов аутентификации, идентификации и подписи. Как уже было упомянуто, все защищено PIN-кодом, который дает пользователю доступ к данным, хранящимся на чипе. Поскольку организации часто поддерживают и выпускают свои собственные смарт-карты и флэшки, они также могут определять, какая политика будет ассоциироваться с этим решением. Например, будет ли карта заблокирована или с нее будут стеры данные после x количества неудачных попыток. Поскольку эти политики можно использовать в совокупности с PIN-кодом, PIN-код может быть значительно короче и проще для запоминания, безо всякого риска для безопасности. Все эти параметры хранятся на смарт-карте с момента ее выпуска. Решение на основе чипа также не восприимчиво к внешнему вмешательству, поэтому без необходимого PIN-кода, к информации (сертификаты и личная информация), хранящейся на чипе, невозможно получить доступ, а, следовательно, ее нельзя использовать в каких бы то ни было целях.

    Смарт-карты или USB флэшки?

    Как мы уже говорили, одно из отличий между смарт-картами и USB флэшками, это форм-фактор. Оба решения соответствуют общей задаче, касающейся двухфакторной аутентификации, но каждое решение имеет свои плюсы и минусы. Смарт-карта может использоваться для фото идентификации, так как вы можете напечатать на ней фото и имя. А USB флэшка может включать флэш-память для хранения документов и файлов. Оба устройства можно использовать для контроля физического доступа тем или иным способом. Смарт-карта может включать микросхему, магнитную полосу, штрих-коды и бесконтактные возможности, в то время как флэшка может иметь добавленную бесконтактную возможность или поддержку биометрических данных.

    Заметка: Существуют другие форм-факторы, например мобильные телефоны, в которых (Subscriber Identity Module) SIM – карта может служить той же цели, что и смарт–карта или флэшка USB.

    Для смарт-карты требуется смарт карт-ридер, в то время как USB флэшка может использоваться с существующим на компьютере USB портом и использовать его для эмуляции смарт карт-ридера. Смарт карт-ридеры сегодня должны использовать либо такие интерфейсы, как PC Card, ExpressCard, USB или быть встроенными, некоторые производители ноутбуков и клавиатур создали такие карт-ридеры на своих моделях. Смарт карт-ридеры считаются стандартными устройствами Windows, независимо от OС чипа, и у них есть дескриптор безопасности и PnP идентификатор. Как карт-ридеры так и USB флэшки требуют драйвера устройства Windows, прежде чем их можно будет использовать, поэтому убедитесь, что используете самые свежие драйверы, по соображениям производительности, во время двухфакторной аутентификации.

    При выборе решения свое слово может сказать и начальная цена каждого устройства, однако прочие различия тоже следует принимать во внимание, например психологический фактор, сопряженный с такими решениями аутентификации. Смарт-карта и кредитная карта практически одинаковые, многие кредитные карты сегодня тоже имеют встроенные чипы. Многие компании сегодня используют смарт-карты как для физического доступа, так и для оплаты обедов и т.п. Это означает, что карта удобна и к тому же обладает денежной ценностью, а, следовательно, люди вынуждены оберегать такую карту и не забывать иметь ее при себе постоянно. Она также отлично размещается в бумажнике, что также может иметь дополнительный эффект безопасности, в зависимости от того, как на это посмотреть.

    Некоторые вопросы к рассмотрению

    При выборе решения аутентификации на основе чипа есть некоторые вопросы и рекомендации, которые следует принять к сведению.

    1. Совместимость » Убедитесь, что ОС чипа совместима с CSP, которую вы собираетесь использовать. Как вы узнаете в следующей статье, CSP является связующим ПО между ОС чипа и Windows, а также отвечает за политику безопасности, применяемую к чипу.
    2. Управление » Если вам нужно применить смарт-карту или флэшку для использования большим количеством людей, убедитесь, что вы выбрали ОС чипа, совместимую с Card Management System (CMS) вашего выбора.
    3. Расширяемость » Убедитесь, что ОС чипа может использоваться всеми необходимыми приложениями и для всех нужд аутентификации, которые вам требуются. В будущем вам могут понадобиться дополнительные сертификаты на смарт-карте или флешке, например подписи электронной почты или даже биометрические данные. Проверьте DoD Common Access Card (CAC) техническую детализацию, которая используется для хранения большого объема информации о пользователе (смотреть ссылку ниже). Просто убедитесь в том, что вы приняли во внимание вопросы неприкосновенности, при применении такой информации, как биометрические данные. Мы рассмотрим этот вопрос позже в этой серии статей.
    4. Простота использования » Убедитесь, что вы выбрали решение на основе чипа, которое удобно для пользователя и практично. Основной проблемой для решений многофакторной аутентификации является то, что пользователи имеют склонность забывать или терять свои смарт-карты или флэшки, либо забывать PIN-код, если устройство используется не часто.

    Заключение

    В следующей статье мы рассмотрим процесс подготовки Windows к поддержке устройств многофакторной аутентификации, а также дадим несколько советов по подготовке и использованию ваших смарт-карт и флэшек в Windows XP и Windows Server 2003 окружении.

    Источник www.windowsecurity.com


    Смотрите также:

    Readers Comments (Комментариев нет)

    Да человек я, человек! =)

    Exchange 2007

    Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ...

    Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ...

    Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть...

    "К 2008 году количество используемых USB-ключей приблизится к количеству других средств аутентификации"
    IDC 2004 год

    Введение

    В настоящее время в связи с широким распространением компьютеров все чаще приходится задумываться о безопасности обрабатываемой информации. Первым шагом в обеспечении безопасности является аутентификация законного пользователя.
    Чаще всего в качестве средств аутентификации используется пароль. К тому же более 60% пользователей, как показывает практика, чаще всего использует одни и те же пароли к различным системам. Не стоит и говорить, что это существенно снижает уровень безопасности. Что делать?
    На мой взгляд, одним из вариантов решения проблемы будет использование аппаратных ключей аутентификации. Рассмотрим их применение подробнее на примере USB-ключей от фирмы Aladdin.

    Что такое eToken?

    eToken (рис. 1) – персональное устройство для аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронно-цифровой подписью (ЭЦП). eToken выпускается в виде:

    • eToken PRO – USB-ключ, позволяющий производить двухфакторную аутентификацию. Доступен в версиях 32К и 64К.
    • eToken NG-OTP – гибрид USB-ключа и устройства, генерирующего одноразовые пароли (One Time Password, OTP). Доступен в версиях 32К и 64К.
    • Смарт-карта eToken PRO – устройство, выполняющее те же функции, что и USB-ключ, но имеющее форму обычной кредитной карты. Доступна в версиях 32К и 64К.

    В дальнейшем мы будем говорить именно о USB-ключах, которые подключаются напрямую к USB порту компьютера и, в отличие от смарт-карты, не требует наличия специального считывателя.
    eToken обладает защищенной энергонезависимой памятью и используется для хранения паролей, сертификатов и других секретных данных.

    Рисунок 1 eToken Pro 64k

    Устройство eToken

    Компоненты технологии eToken PRO:

    • Чип смарт-карты Infineon SLE66CX322P или SLE66CX642P (EEPROM ёмкостью 32 или 64 КБ соответственно);
    • ОС смарт-карты Siemens CardOS V4.2;
    • Аппаратно реализованные алгоритмы: RSA 1024bit, DES, Triple-DES 168bit, SHA-1, MAC, Retail-MAC, HMAC-SHA1;
    • Аппаратный датчик случайных чисел;
    • Контроллер USB интерфейса;
    • Источник питания;
    • Корпус из твёрдого пластика, не поддающийся необнаружимому вскрытию.

    В устройство eToken NG-OTP дополнительно включены следующие компоненты:

    • Генератор одноразовых паролей;
    • Кнопка для их генерации;
    • ЖК-дисплей;

    Поддержка интерфейсов:

    • Microsoft CryptoAPI;
    • PKCS#11.

    PIN-код

    Для получения доступа к данным, хранящимся в памяти eToken, необходимо ввести PIN-код (Personal Identification Number). В PIN-коде не рекомендуется использовать пробелы и русские буквы. При этом PIN-код должен удовлетворять критериям качества, заданным в файле %systemroot%\system32\etcpass.ini.
    Редактирование этого файла, содержащего критерии качества PIN-кода, осуществляется с помощью утилиты eToken Properties.

    Права доступа к eToken

    В зависимости от модели eToken и параметров, выбранных при форматировании, можно выделить четыре типа прав доступа к eToken:

    • гостевой – возможность просматривать объекты в открытой области памяти; возможность получения из системной области памяти общей информации относительно eToken, включающей имя eToken, идентификаторы и некоторые другие параметры. При гостевом доступе знание PIN-кода не обязательно;
    • пользовательский – право просматривать, изменять и удалять объекты в закрытой, открытой и свободной областях памяти; возможность получения общей информации относительно eToken; право менять PIN-код и переименовывать eToken; право настраивать параметры кэширования содержания закрытой области памяти и дополнительной защиты закрытых ключей паролем (при отсутствии пароля администратора или с разрешения администратора), право просмотра и удаления сертификатов в хранилище eToken и ключевых контейнеров RSA;
    • администраторский – право менять PIN-код пользователя, не зная его; право смены пароля администратора; право настраивать параметры кэширования содержания закрытой области памяти и дополнительной защиты закрытых ключей паролем, а также возможность делать эти настройки доступными в пользовательском режиме;
    • инициализационный – право форматировать eToken PRO.

    К eToken R2 относятся только первые два типа прав, к eToken PRO и eToken NG-OTP – все четыре.
    Администраторский доступ к eToken PRO может быть произведен только после правильного ввода пароля администратора. Если же в процессе форматирования пароль администратора не задан, то обратиться с правами администратора нельзя.

    Программное обеспечение для eToken

    Общие сведения

    eToken Run Time Environment 3.65
    eToken Run Time Environment (eToken RTE) – набор драйверов eToken. В состав данного пакета программного обеспечения входит утилита "Свойства eToken" (eToken Properties).
    С помощью данной утилиты можно:

    • настраивать параметры eToken и его драйверов;
    • просматривать общую информацию относительно eToken;
    • импортировать, просматривать и удалять сертификаты (за исключением сертификатов из хранилища eTokenEx) и ключевые контейнеры RSA;
    • форматировать eToken PRO и eToken NG-OTP;
    • настраивать критерии качества PIN-кодов.

    Для установки данного программного обеспечения необходимы права локального администратора. Следует помнить, что до установки eToken RTE нельзя подключать ключ eToken.
    Установку программного обеспечения необходимо проводить в следующем порядке:

    • eToken RTE 3.65;
    • eToken RTE 3.65 RUI (русификация интерфейса);
    • eToken RTX.

    Установка и удаление на локальном компьютере eToken RTE 3.65

    Установка


    Рисунок 2 eToken Run Time Environment 3.65 Setup

    В окне (рис. 3) необходимо прочесть лицензионное соглашение и согласиться с ним.


    Рисунок 3 End-User License Agreement

    Если вы не согласны с условиями лицензионного соглашения, то нажмите кнопку "Cancel" и тем самым прервите процесс установки.
    Если вы согласны с лицензионным соглашением, то выберите пункт "I accept the license agreement" и нажмите кнопку "Next". На экране вы увидите следующее окно (рис. 4):


    Рисунок 4 Ready to Install the Application

    Установка займет некоторое время.
    По окончании процесса инсталляции (рис. 5) нажмите кнопку "Finish".


    Рисунок 5 eToken Run Time Environment 3.65 has been successfully installed
    В конце установки может потребоваться перезагрузка компьютера.

    eToken RTE 3.65 RUI

    Установка
    Для установки eToken RTE 3.65 RUI необходимо запустить программу установки.


    Рисунок 6 Установка eToken 3.65 RUI
    В появившемся окне (рис. 6) нажмите кнопку "Далее".


    Рисунок 7 Окончание установки Russian User Interface

    Использование командной строки

    Для установки и удаления eToken RTE 3.65, eToken RTE 3.65 RUI и eToken RTX можно использовать командную строку.
    Примеры команд:

    • msiexec /qn /i
    • msiexec /qb /i
    • /q – установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме без диалоговых окон с параметрами по умолчанию;
    • /qb – установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме с параметрами по умолчанию и отображением процесса установки на экране;
    • msiexec /qn /x – удаление eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме без диалоговых окон;
    • msiexec /qb /x – удаление eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме с отображением процесса удаления на экране.

    Первое подсоединение USB-ключа eToken к компьютеру

    Если на компьютере установлен eToken RTE 3.65, подключите eToken к порту USB или к удлинительному кабелю. После этого начнётся процесс обработки нового оборудования, который может занять некоторое время. По завершении процесса обработки нового оборудования на eToken загорится световой индикатор.

    Утилита "Свойства eToken"


    Рисунок 8 Окно программы "Свойства eToken"

    Утилита "Свойства eToken" позволяет выполнять основные операции по управлению токенами, такие как смена паролей, просмотр информации и сертификатов, расположенных в памяти eToken. Кроме того, с помощью утилиты "Свойства eToken" можно быстро и легко переносить сертификаты между компьютером и eToken, а также импортировать ключи в память eToken.
    Кнопка "Разблокировать" необходима, если пользователь забыл свой PIN-код, и не может прийти к администратору eToken (например, пользователь находится в командировке). Обратившись к администратору по e-mail, пользователь сможет получить для этого eToken от администратора шестнадцатиричный запрос, сформированный на основании данных, хранящихся в базе TMS, внеся который в поле "ответ" пользователь получит доступ на смену PIN-кода.


    Рисунок 9 Вкладка компьютер

    Смена PIN-кода осуществляется согласно рис. 10:


    Рисунок 10 Смена PIN-кода
    При смене PIN-кода необходимо чтобы новый PIN-код соответствовал требованиям качества введенного пароля. Качество пароля проверяется согласно введенным критериям.
    Для того чтобы проверить соответствие пароля выбранным критериям, введите пароль в строку. Под этой строкой выводится информация о причинах несоответствия введённого пароля выбранным критериям в процентах, а также графически и в процентах условно отображается качество введённого пароля согласно выбранным критериям.

    Перечень критериев

    В таблице приведены критерии качества PIN-кода и указаны их настраиваемые значения. В качестве значения критерия может быть использована отрицательная величина, выраженная в процентах. Такое значение называется штрафом.

    Критерий

    Описание

    Возможные значения

    Значение по умолчанию

    PIN-код содержит последовательность символов в алфавитном порядке

    длина последовательности символов для критерия ABCOrder

    новый пароль равен текущему

    пароль из словаря

    новый пароль равен одному из предыдущих

    DefaultPassChange

    смена пароля, принятого по умолчанию

    None (смена пароля не требуется);
    Warning (выводится сообщение с предупреждением);
    Enforce (использование пароля по умолчанию невозможно)

    файл словаря

    абсолютный путь к файлу словаря

    не задано

    пароль только из цифр

    наличие двух одинаковых символов

    срок действия до появления предупреждения о необходимости смены (в днях)

    максимальный срок действия в днях

    0
    (не установлен)

    KeyboardProximity

    наличие нескольких символов в том же порядке, как на клавиатуре

    KeyboardProximityBase

    длина последовательности символов для критерия KeyboardProximity

    пароль похож на пароль из словаря

    минимальный срок действия в днях

    0
    (не установлен)

    минимальная длина в символах

    минимальная стойкость в процентах

    отсутствие цифр

    отсутствие строчных букв

    использование букв русского алфавита, непечатаемых и некоторых служебных символов

    отсутствие знаков препинания и служебных символов

    отсутствие прописных букв

    PhonesAndSerialNumbers

    использование в пароле номеров телефонов, серийных номеров, и т.п.

    наличие повторяющихся символов

    количество использованных ранее паролей, хранящихся в памяти eToken для проверки по критерию CheckOld-Passes

    длина пароля меньше WarningLength

    если длина пароля меньше WarningLength, при проверке качества пароля появляется предупреждение

    пароль содержит символы пробела

    Словарь

    Для того чтобы задать список недопустимых или нежелательных паролей, создайте текстовый файл. Или вы можете воспользоваться так называемыми частотными словарями, которые используются для подбора паролей. Файлы таких словарей можно взять на сайте www.passwords.ru .
    Пример такого словаря:
    anna
    annette
    bill
    password
    william
    Назначьте критерию "Dictionary" путь к созданному файлу. При этом путь к файлу словаря на каждом компьютере должен совпадать со значением критерия "Dictionary".

    Вход в Windows с помощью eToken

    Общие сведения

    eToken SecurLogon совмещает эффективную защиту сети с удобством и мобильностью. При аутентификации в Windows используются имя пользователя и пароль, хранящиеся в памяти eToken. Это даёт возможность применять строгую аутентификацию на основе токенов.
    Вместе с тем хотелось бы добавить, что в крупных компаниях, использующих доменную структуру, необходимо подумать о внедрении PKI и централизованном применении SmartCardLogon.
    При использовании eToken SecurLogon могут применяться никому не известные случайные сложные пароли. Кроме того, предусмотрена возможность использования сертификатов, хранящихся в памяти eToken, для регистрации на основе смарт-карт, что повышает безопасность входа в Windows.
    Это стало возможным благодаря тому, что система Windows 2000/XP позволяет использовать различные механизмы доступа, заменяющие метод аутентификации по умолчанию. Механизмы идентификации и аутентификации службы входа в Windows (winlogon), обеспечивающей интерактивную регистрацию в системе, встроены в заменяемую динамически подсоединяемую библиотеку (DLL), именуемую GINA (Graphical Identification and Authentication, рабочий стол аутентификации). Когда система нуждается в ином методе аутентификации, который бы заменил механизм "имя пользователя/пароль" (используемый по умолчанию) стандартную msgina.dll заменяют новой библиотекой.
    При установке eToken SecurLogon заменяется библиотека рабочего стола аутентификации и создаются новые параметры реестра. GINA отвечает за политику интерактивного подключения и осуществляет идентификацию и диалог с пользователем. Замена библиотеки рабочего стола аутентификации делает eToken основным механизмом проверки подлинности, расширяющим возможности стандартной аутентификации Windows 2000/XP, основанной на применении имени пользователя и пароля.
    Пользователи могут самостоятельно записывать в память eToken информацию, необходимую для входа в Windows (профили), если это разрешено политикой безопасности предприятия.
    Профили можно создавать с помощью мастера создания профилей eToken Windows Logon.

    Приступая к работе

    eToken SecurLogon аутентифицирует пользователя Windows 2000/XP/2003 c помощью eToken, используя либо сертификат пользователя со смарт-картой, либо имя пользователя и пароль, которые хранятся в памяти eToken. eToken RTE включает в себя все необходимые файлы и драйверы, обеспечивающие поддержку eToken в eToken Windows Logon.

    Минимальные требования

    Условия для установки eToken Windows Logon:

    • на всех рабочих станциях должен быть установлен eToken Runtime Environment (версии 3.65 или 3.65);
    • eToken SecurLogon устанавливается на компьютер с Windows 2000 (SP4), Windows XP (SP2) или Windows 2003 (SP1). eToken SecurLogon поддерживает классический диалог приветствия Windows (но не новый экран приветствия Windows XP) и не поддерживает режим быстрой смены пользователя в Windows XP.

    Поддерживаемые токены

    eToken SecurLogon поддерживает следующие устройства eToken:

    • eToken PRO – USB-ключ, позволяющий производить двухфакторную аутентификацию. Доступен в версиях 32К и 64К;
    • eToken NG-OTP – гибрид USB-ключа и устройства, генерирующего одноразовые пароли. Доступен в версиях 32К и 64К;
    • смарт-карта eToken PRO – устройство, выполняющее те же функции, что и USB-ключ, но имеющее форму обычной кредитной карты. Доступна в версиях 32К и 64К.

    eToken Runtime Environment (RTE)

    eToken Runtime Environment (RTE) содержит все файлы и драйверы, обеспечивающие поддержку eToken в eToken Windows Logon. В этот набор также входит утилита "Свойства eToken" (eToken Properties), позволяющая пользователю легко управлять PIN-кодом и именем eToken.
    Все новые eToken имеют один и тот же PIN-код, установленный по умолчанию при производстве. Этот PIN-код 1234567890. Для обеспечения строгой, двухфакторной аутентификации и полной функциональности пользователь обязательно должен заменить PIN-код по умолчанию собственным PIN-кодом сразу после получения нового eToken.
    Важно: PIN-код не следует путать с паролем пользователя Windows .

    Установка

    Для того чтобы установить eToken Windows Logon:

    • войдите в систему как пользователь с правами администратора;
    • дважды щёлкните SecurLogon - 2.0.0.55.msi;
    • появится окно мастера установки eToken SecurLogon (рис. 11);
    • нажмите кнопку "Next", появится лицензионное соглашение eToken Enterprise;
    • прочитайте соглашение, нажмите кнопку "I accept" (Принимаю), а затем кнопку "Next";
    • в конце установки производится перезагрузка.


    Рисунок 11 Установка SecurLogon


    Установка с помощью командной строки:
    eToken SecurLogon можно устанавливать, используя командную строку:
    msiexec /Option [необязательный параметр]
    Параметры установки:

    • – установка или настройка продукта;
    • /a – административная установка – установка продукта в сеть;
    • /j

    Объявление о продукте:

        • "m" – всем пользователям;
        • "u" – текущему пользователю;
    • – отмена установки продукта.

    Параметры отображения:

    • /quiet – тихий режим, без взаимодействия с пользователем;
    • /passive – автоматический режим – только индикатор выполнения;
    • /q – выбор уровня интерфейса пользователя;
        • n – без интерфейса;
        • b – основной интерфейс;
        • r – сокращенный интерфейс;
        • f – полный интерфейс (по умолчанию);
    • /help – вывод справки по использованию.

    Параметры перезапуска

    • /norestart – не перезапускать после завершения установки;
    • /promptrestart – запрашивать переустановку при необходимости;
    • /forcerestart – всегда запускать компьютер после завершения установки.

    Параметры ведения журнала
    /l ;

    • i – сообщения о состоянии;
    • w – сообщения об устранимых ошибках;
    • e – все сообщения об ошибках;
    • a – запуски действий;
    • r – записи, специфические для действия;
    • u – запросы пользователя;
    • c – начальные параметры интерфейса пользователя;
    • m – сведения о выходе из-за недостатка памяти или неустранимой ошибки;
    • o – сообщения о недостатке места на диске;
    • p – свойства терминала;
    • v – подробный вывод;
    • x – дополнительная отладочная информация;
    • + – добавление в существующий файл журнала;
    • ! – сбрасывание каждой строки в журнал;
    • * – заносить в журнал все сведения, кроме параметров "v" и "x" /log равнозначен /l* .

    Параметры обновления:

    • /update [;Update2.msp] – применение обновлений;
    • /uninstall [;Update2.msp] /package – удаление обновлений продукта.

    Параметры восстановления:
    /f
    Восстановление продукта:

      • p – только при отсутствии файла;
      • o – если файл отсутствует или установлена старая версия (по умолчанию);
      • e – если файл отсутствует или установлена такая же или старая версия;
      • d – если файл отсутствует или установлена другая версия;;
      • c – если файл отсутствует или контрольная сумма не совпадает с подсчитанным значением;
      • a – вызывает переустановку всех файлов;
      • u – все необходимые элементы реестра, специфические для пользователя (по умолчанию);
      • m – все необходимые элементы реестра, специфические для компьютера (по умолчанию);
      • s – все существующие ярлыки (по умолчанию);
      • v – запуск из источника с повторным кэшированием локальных пакетов;

    Настройка общих свойств:
    Обратитесь к руководству разработчиков Windows (R) Installer за дополнительными сведениями по использованию командной строки.

    Автоматическая генерация пароля.

    При записи профиля пользователя в память eToken пароль может генерироваться автоматически или вводиться вручную. При автоматической генерации формируется случайный, длиной до 128 символов, пароль. При этом пользователь не будет знать свой пароль и не сможет войти в сеть без ключа eToken. Требование использования только автоматически сгенерированных паролей может быть настроено как обязательное.

    Использование eToken SecurLogon

    eToken SecurLogon позволяет пользователям регистрироваться в Windows 2000/XP/2003 при помощи eToken с записанным в памяти паролем.

    Регистрация в Windows

    Вы можете регистрироваться в системе Windows с помощью eToken, или вводя имя пользователя и пароль Windows.

    Чтобы зарегистрироваться в Windows с помощью eToken:

    1. Перезагрузите ваш компьютер;
    2. Появится приветственное сообщение Windows;
    3. Если eToken уже подсоединён, щелкните по гиперссылке Logon Using eToken (регистрация при помощи eToken). Если eToken не был подсоединён, подключите его к порту USB или кабелю. При любом методе регистрации будет отображено окно "Вход в Windows / Log On to Windows";
    4. Выберите пользователя и введите PIN-код eToken;
    5. Нажмите кнопку "OK". Вы открыли сеанс пользователя с помощью реквизитов, становленных в памяти eToken.
    6. Если вы используете eToken с сертификатом пользователя со смарт-картой, то вы должны ввести только PIN-код eToken, чтобы подключиться к компьютеру.

    Регистрация в Windows без eToken:

    1. перезагрузите ваш компьютер, нажмите сочетание клавиш CTRL+ALT+DEL, появится окно "Вход в Windows / Log On to Windows";
    2. нажмите кнопку "OK" – вы вошли в систему при помощи имени пользователя и пароля.

    Смена пароля

    Вы можете сменить пароль Windows после входа в систему при помощи eToken.
    Для того чтобы сменить пароль после входа в систему при помощи eToken:

    1. войдите в систему, используя eToken;
    2. нажмите "CTRL +ALT +DEL ", появится окно "Безопасность Windows / Windows Security ";
    3. Щёлкните кнопку "Смена пароля / Change Password ", если текущий пароль был создан вручную, то появится окно "Смена пароля / Change Password ", но если текущий пароль был создан случайным образом, то переходим к пункту 5;
    4. Введите новый пароль в полях "Новый пароль / New Password "и "Подтверждение / Confirm New Password "и нажмите кнопку "OK ";
    5. Если текущий пароль был создан случайным образом, то и новый пароль будет создан автоматически;
    6. в появившемся диалоговом окне введите PIN-код eToken и нажмите кнопку "OK "
    7. появится окно с подтверждающим сообщением.

    Защита сеанса пользователя

    Вы можете использовать eToken для обеспечения безопасности вашего рабочего сеанса.

    Блокировка вашей рабочей станции

    Вы можете обеспечивать безопасность вашего компьютера, не выходя из системы, путем блокировки компьютера. При отсоединении eToken от порта USB или кабеля (после удачной регистрации) операционная система автоматически заблокирует ваш компьютер.

    Для того чтобы разблокировать ваш компьютер:

    Когда ваш компьютер заблокирован, появляется окно "Блокировка компьютера Computer Locked ". Подключите eToken к порту USB или кабелю. В появившемся окне введите PIN-код в поле "eToken Password "и нажмите кнопку "OK " – компьютер разблокирован.
    Примечание: в случае нажатия "CTRL +ALT +DEL "и ввода пароля компьютер будет разблокирован без использования eToken.

    Удаление вручную

    В том редком случае, когда вам потребуется удалить eToken SecurLogon вручную, предпримите следующие действия:

    • перезагрузите компьютер и загрузите его в безопасном режиме;
    • зарегистрируйтесь как пользователь с правами администратора;
    • при помощи редактора реестра откройте раздел HKEY _LOCAL _MA С HINE \SOFTWARE \Microsoft \Windows NT \Current Version \Winlogon и удалите параметр "GinaDLL ";
    • gерезагрузите ваш компьютер, при следующей регистрации в Windows появится окно Microsoft Windows Logon.

    Устранение общих неполадок

    Вам может понадобиться произвести следующие действия для устранения общих неполадок:

    Проблема

    Решение

    Вы подсоединили eToken во время процесса регистрации (когда появилось окно "Операционная система Windows / Welcome to Windows ") или когда компьютер заблокирован (отображено окно "Блокировка компьютера / Computer Locked "). Окно eToken SecurLogon не появляется.

    1. Отсоедините все подключенные смарт-карты (не только eToken) к компьютеру и заново подключите eToken.
    2. Возможно, eToken не опознается системой после установки eToken RTE. В этом случае попробуйте зарегистрироваться вручную, нажав "CTRL +ALT +DEL ". Подсоедините ваш eToken и дождитесь, когда загорится световой индикатор.

    Вы подключили eToken сразу после вывода компьютера из спящего или ждущего режима. Окно eToken SecurLogon не появляется.

    1. Дождитесь, когда загорится световой индикатор. Появится окно "Снятие блокировки компьютера / Unlock Computer ".
    2. Предпримите действия, описанные выше.

    Вы отсоединили eToken после вывода компьютера из спящего или ждущего режима, и компьютер не блокируется сразу.

    Подождите не более 30 секунд, пока компьютер не будет заблокирован.

    В Windows 2000 выход из системы или выключение компьютера занимают много времени.

    Установите последний пакет обновления.

    Вы подсоединили устройство чтения смарт-карты или eToken после включения компьютера, и устройство не опознается.

    Перезагрузите компьютер после подключения считывателя.