Microsoft Smart Card Logon |
| |
|
|
|
Die aktuellen Betriebssysteme von Microsoft haben zertifikatsbasiertes Smart Card Logon schon fix integriert - es wird aber ohne Vorhandensein der notwendigen hardwaremäßigen Voraussetzungen für den Benutzer verborgen. Sobald ein Smart Card Leser gefunden wird, taucht am Anmeldeschirm mit dem Erscheinen des Symbols für einen Smart Card Reader die sichere Logonvariante auf. Da dieses Smart Card Logon zertifikatsbasierend abläuft
müssen aber noch ein paar weitere Voraussetzungen vorhanden sein.
|
 |
 |
|
XP - Logon - Screen |
|
Voraussetzungen für Microsoft Smart Card Logon |
 |
Windows Server 2003 oder Windows 2000 Server |
|
PKI mit Active Directory Integration |
|
XP Professional oder Windows 2000 Professional - mit Microsoft GINA - msgina.dll |
|
PC/SC konformer Smart Card Reader |
|
Smart Card mit geeignetem CSP (Cryptographic Service Provider) |
|
Features - Konfiguration |
Mit oben genannten Voraussetzungen kann mit der PKI ein Smart Card Logon Zertfiikat für den Benutzer auf eine Smart Card aufgebracht werden. Über Gruppenrichtlinien kann nun das Verhalten bei Stecken und Ziehen der Karte konfiguriert werden.
Über die "smart card required for interactive logon" Account Policy kann das Passwortlogon für das Logon generell ausgeschaltet werden - Remote Access ist davon nicht betroffen. Mit der "on smart card removal" Policy kann das Verhalten bei Ziehen der Karte bestimmt werden. Die Möglichkeiten reichen von "keiner Aktion" über die Sperre des Schirms bis zum erzwungenen Logoff des Users. Die PIN für die Smart Card muss wegen der Schwierigkeit von Wörterbuchattacken auf Smart Cards, aufgrund der Smart Card inherenten PIN-Verwaltung, nicht den strengen Passwort-Richtlinien unterliegen.
Da eine Vielzahl von "Authentisierungsprozeduren" bei Microsoft Windows über Zertifikate und Smart Cards abgewickelt werden können, wie z.B. VPN, WLAN, Terminalserver bis E-Mailsignaturen, kann über Smart Cards, PKI und Active Directory faktisch eine Single Sign On Lösung installiert werden.
|
|
|
|
Im Cryptoshop können Sie die benötigten Komponenten selbst zusammenstellen, und in Ihrer Testumgebung ausprobieren und evaluieren, welche Produkte für ihr Einsatzgebiet und -zweck ideal sind. Um Ihrer Microsoft Infrastruktur Smart Card Sicherheit zu gönnen benötigen Sie nur noch eine Smart Card
, einen Smart Card Reader
und einen Smart Card CSP
.
Wenn Sie nicht aufwendig testen und evaluieren wollen, empfehlen wir Ihnen den Einsatz folgender Komponenten:
|
|
|
Vergessene Smart Card |
Vergessene Smart Cards stellen natürlich ein kleines Problem dar. Eine Möglichkeit wäre die Ausstellung von Ersatzkarten temporären Karten mit Zertifikaten, die lediglich eine kurze Zeit, z.B. ein Tag, gültig sind, was z.b. mit einem Kartenmanagementsystem unkompliziert machbar ist. Eine andere Möglichkeit ist es das Passwortlogons im Hintergrund beizubehalten, und dem Benutzer dieses SEHR starke Passwort nur in diesem Fall zu verraten bzw. appliance-basierte Single Sign On Lösungen
bieten auch die Möglichkeit von Self-Service Password Resets nach Beantwortung einiger definierter Self-Service Fragen.
|
|
|
|
|
