deploying smartcard in windows 2008 quick start
TRANSCRIPT
DEPLOYING SMART CARDS WINDOWS 2008
QUICK START
Krzysztof Bińkowski
Wspólne spotkanie grup: WGUiSW i MSSUG,
2010.02.02 Warszawa
Cel prezentacji
Zapoznanie słuchaczy z procedurą i sposobem
wdrożenia smart cards w środowisku Windows 2008 / Windows 7
Agenda
SMART CARDs – krótko Szablony w PKI Szablony SMARTCARD User i SMARTCARD
Logon Restricting Enrollment Agents Enrollment / Web Enrollment Deploying Smart Cards Best Practise Deploying Smart Cards warsztaty Autoenrollement
Budowa Smart Card
- Posiada wbudowany procesor- Jest programowalna- Dostarcza bezpieczny magazyn dla kluczy prywatnych- Oddziela krytyczne dla bezpieczeństwa operacje od komputera
Karta przechowuje: Klucz prywatny Klucz publiczny
Powiązany certyfikat
Karta, nie karta ?
Czasem SMART CARD nazywamy tokenami USB
Czytniki kart
Standardowe karty - minimum
Zestaw zawiera: Karta Sterowniki + oprogramowanie (middleware) CSP Czytnik kart
Karty .NET
Certificate Templates
• Dostępne tylko na CA typu zintegrowanego z Active Directory
• Przechowywane w Active Directory
• Zabezpieczone przed niepowołaną zmianą
Szablony Certyfikatów są zestawem zasad i ustawień które są konfigurowalne po stronie urzedu certyfikacji (CA). Zasady te i ustawienia są wykorzystywane w procesie wydawania certyfikatów.
Szablony Windows Server 2008 R2
Wersja ServeraWsparcie dla szablonów certyfikatów
V1 V2 V3
Windows Server 2008 R2 Datacenter Edition Tak Tak Tak
Windows Server 2008 R2 Enterprise Edition Tak Tak Tak
Windows Server 2008 R2 Standard Edition Tak Nie Nie
• V1 – wersja przewidziana dla kompatybilności wstecz (win 2000)• V2 – pozwala na zmianę ustawień domyślnych ( Win 2003)• V3 – najnowsza i najbardziej zaawansowana wersja SuiteB (win
2008, Vista, 7)
Niezbędne szablony Smart Card
Enrollment Agent. Allows an authorized user to serve as a certificate request agent on behalf of other users.
Smart Card User. Enables a user to log on and sign e-mail.
SmartCardLogon. Enables a user to log on by using a smart card.
Default Certificate Templates
Name Description Key usage Subject
type
Published to Active Directory Domain Services
(AD DS)?
Template version
Enrollment Agent
Used to request certificates on behalf of another subject.
Signature User No 1
Enrollment Agent
(Computer)
Used to request certificates on behalf of another computer subject.
Signature Computer No 1
Smartcard Logon
Allows the holder to authenticate by using a
smart card.
Signature and encryption
User No 1
Smartcard UserAllows the holder to
authenticate and protect e-mail by using a smart card.
Signature and encryption
User Yes 1
Restricting Enrollment Agents
The enrollment agent can request certificates only for specific AD DS groups.
For each designated AD DS Group, the enrollment agent can request certificates based only on specific certificate templates.
Enrollment / Web Enrollment
Certificate-Related Changes for Windows Vista
ActiveX enrollment control used in previous versions of Windows, XEnroll.dll, is being replaced with a new enrollment control, CertEnroll.dll, in Windows Vista and Windows Server 2008.
Enrollment / Web Enrollment
Deploying Smart Cards Best Practise
Designing an Enrollment Agent certificate template
Designing a smart card certificate template Restricting the enrollment agents Restricting the certificate managers
Performing the deployment process:1. The enrollment agent must acquire Enrolment
Agent certificate 2. The Enrollment agent must request a
certifcate for a smart card user
Autoenrollment
Computer autoenrollment Computer Configuration\ Windows Settings \Security Settings\Public Key Polices\ Autoenrollment Settings
User autoenrollment User Configuration\Windows Settings\Security Settings\Public Key Polices\Autoenrollment Settings
Warte uwagi Smart Card is required for interactive
logon ADUC / VBS / GPO
Smart card removal behavior
Określa co się stanie kiedy użytkownikZalogowany oprzez SMART CARD usunie kartę z czytnika Smart Card.
Dostępne opcje: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop
Services Session
Deploying Smart Cards warsztaty
Na serwerze Windows 2008: Instalujemy CA Enterprise Publikujemy szablony certyfikatów w CA:
Enrollment Agent, SmartCard User
Na stacji roboczej Windows 7: Instalujemy CSP Cryptotech Pobieramy i instalujemy certyfikat Enrollment Agent Pobieramy i wydajemy certyfikat w imieniu
użytkownika Imie.Nazwisko Logujemy się do Windows 7
Dziękuje za uwagę
Zapraszam na warsztaty w dalszej części naszego spotkania
Moje prezentacje na temat SMARTCARD: Praktyczne
zastosowanie kart elektronicznych10 spotkanie WGUiSW – 1 spotkanie MSSUG
Praktyczne spojrzenie na zastosowanie SMARTCARD w środowisku Windows
MTS 2009