Chứng thực đa hệ số Windows - Phần 2: Chuẩn bị thiết bị cho XP Windows 2003 Nguồn : quantrimang.com  Martin Kiaer Tại bạn cần CSP client Trong báo trước, bảo đảm chip OS thẻ thơng minh hồn tồn tương thích với CSP mà bạn muốn sử dụng Trước bắt đầu với ví dụ triển khai, chúng tơi giới thiệu cho bạn CSP lại thành phần quan trọng đến làm việc với việc chứng thực đa hệ số Windows Cơ mà nói, Cryptographic Service Provider (CSP) phận phần mềm nằm thiết bị bảo mật hệ điều hành Windows Hình bên thể Windows XP Windows Server 2003: Hình 1: Role CSP Windows XP Windows Server 2003 Như bạn thấy hình trên, việc truyền thơng ứng dụng sử dụng chứng thực đa hệ số thiết bị mật thực thông qua chức CryptoAPI Một số hãng có chức tính nâng cao khác CSP hãng, số khác lại lợi dụng chức tính có sẵn Windows Đây khái niệm quan trọng mà bạn cần phải hiểu, điểm khác Windows XP / Server 2003 Windows Vista / Server 2008, chúng tơi giải thích rõ loạt Ví dụ, phiên Windows hỗ trợ Microsoft có hỗ trợ kèm theo cho nhiều loại thẻ thông minh khác Điều có nghĩa bạn khơng cần phải cài đặt CSP riêng Tất truyền thông đến từ thẻ thông minh thực thông qua CryptoAPI đề cập từ trước Mặc dù vậy, giải pháp thẻ thông minh mà bạn thích lại khơng có danh sách bạn cần phải bảo đảm bổ sung CSP có hỗ trợ hãng sản xuất thẻ, từ sử dụng giải pháp thẻ thông minh với Windows Vậy điều quan trọng cần lưu ý đây? Đó chức CSP ln cần đến, dù bạn sử dụng tính hỗ trợ kèm theo hay sử dụng tính hãng có thiết bị bảo mật Bây tìm hiểu CSP, trước tiên xem qua cách CSP thực giới thực Cách chuẩn bị CSP client nhóm thứ ba cho Windows XP Windows Server 2003 Chúng ta không vào hướng dẫn bước cách thực Tuy nhiên giới thiệu cho bạn số cách khác mà có CSP cách bạn cài đặt CSP client nhóm thứ ba, gắn sách vào CSP client Với ví dụ này, chúng tơi muốn thực theo bước đây: • • • Thi hành giải pháp thẻ thông minh để chuẩn bị thẻ chúng tơi sử dụng Windows XP Windows Server 2003 cách tích hợp với PKI Microsoft Gộp sách bảo mật kích hoạt người dùng nhập vào mã pin họ để truy cập vào nội dung thẻ thơng minh Tạo CSP client dễ dàng cài đặt máy tính máy chủ môi trường doanh nghiệp Để giúp thực yêu cầu liệt kê trên, sử dụng sản phẩm SafeNet có tên gọi “Borderless Security” Chúng tơi khơng muốn tập trung vào thân ứng dụng mà sử dụng để trình bày ngun lý đằng sau thực thi thẻ thơng minh, bạn có ý tưởng cách cấu hình CSP nhóm thứ ba cho giải pháp chứng thực đa hệ số Với tất thơng tin trên, bắt đầu vào ví dụ Chúng ta cài đặt ứng dụng SafeNet Borderless máy chủ chuẩn bị tạo cấu hình CSP client cho máy tính sử dụng Windows XP Windows Server 2003 Chúng ta bắt đầu giao diện quản lý với SafeNet Borderless Security Thứ cần thực liên kết PKI tồn với giải pháp thẻ thông minh Đây bước quan trọng ví dụ chúng ta, sử dụng chứng để chứng thực đưa cấu hình thẻ thông minh cho người dùng hạ tầng sở Một giải pháp thẻ thơng minh điển hình sở hạ tầng Microsoft cần có PKI đề cung cấp chứng với cặp khóa riêng cơng để ánh xạ hóa tài khoản Active Directory Tuy bạn cần phải ý PKI lại không yêu cầu thiết thực thi giải pháp này, điều phụ thuộc vào giải pháp CSP nhóm thứ ba Một số hãng có hỗ trợ vấn đề bảo mật mật nội dung lưu bên chip bảo mật Các chứng hữu ích bao gồm việc cho phép vơ hiệu hóa thẻ thơng minh cách thu hồi lại chứng người dùng có liên quan từ Active Directory Lưu ý mũi tên hình Hình 2: Đây liên kết giải pháp thẻ thơng minh với PKI tồn • Certificate Authority Name cấu hình để trỏ đến CA phát hành PKI Microsoft • Khi liên kết với CA, hoàn toàn chọn mẫu chứng có sẵn PKI Ví dụ, chọn mẫu chứng mặc định có tên gọi “Smart Card User”, có mẫu chứng đa mục đích version (Windows Server 2003) hay version (Windows Server 2008) • Tốt hết bạn nên chọn cặp khóa có kích thước 1024kb để bảo vệ chứng sử dụng suốt trình chuẩn bị thẻ thơng minh Khóa với kích thước 512KB cho chứng không nên dùng Bất người dùng cần có thẻ thơng minh phát hành thẻ thơng minh khởi tạo (nghĩa chuẩn bị) với sách bảo mật để kiểm sốt chiều dài mã pin, số lần thử,… Trong hình bạn thấy số tùy chọn bảo mật (chính sách) mà gắn với CSP Hình 4: Bạn cấu hình thiết lập sách khác cho việc bảo vệ mã Pin Với ví dụ này, thứ mà cần thực cuối chuẩn bị gói CSP client có thiết lập từ bước trước Với SafeNet Bordless Security, có nhiều tùy chọn để cấu hình Hãy xem hình 5,6 để biết số tùy chọn có CSP client bạn Hình Hình Hình Khi bạn chọn tính muốn gộp vào với CSP client tiện ích tạo gói MSI, gói cung cấp đến máy tính khách máy chủ bạn, cách sử dụng phương pháp triển khai phần mềm mà bạn ưa thích (xem hình 9) Hình Hình Thứ cuối mà bạn cần thực vào máy chủ máy khách, nơi muốn hỗ trợ thẻ thơng minh kích hoạt a, Bảo đảm driver cho thiết bị chứng thực đa hệ số bạn cài đặt làm việc b, Cài đặt gói phần mềm CSP client bảo đảm Windows biết thiết bị chứng thực Hình 10 thể cho bạn biết hiển thị CSP client tạo ví dụ cài đặt máy tính Hình 10: CSP client cài đặt chuẩn bị phục vụ với tư cách phần mềm thực nhiệm vụ chứng thực đa hệ số Windows Thẻ xanh biểu tượng taskbar thị thẻ thông minh cắm CSP client cài đặt sẵn sàng sử dụng ứng dụng có hỗ trợ yêu cầu chứng thực đa hệ số Một số ứng dụng ứng dụng mà chúng tơi liệt kê đây: a MSGINA (nghĩa là) hình đăng nhập Windows Đưa thẻ thông minh nhập mã pin bạn vào để chứng thực Bạn kiểm soát cách thao tác Windows sử dụng thẻ thông minh cách điều chỉnh số thiết lập Group Policy b,EAP-TLS PEAP-TLS cho việc chứng thực suốt kết nối VPN truy cập không dây,… c, Giải pháp CMS (Card Management System) sử dụng để cung cấp thẻ thơng minh Trong ví dụ sử dụng sản phẩm “light” SafeNet, nhiên bạn cần cung cấp đến 50 nhiều số lượng thẻ thông minh bạn nên xem xét đến giải pháp CMS thực Intercede (SafeNet), Microsoft, Entrust, Aladdin, … d, Còn nhiều giải pháp khác sử dụng thứ từ dấu vân tay người đọc đến nhận dạng mặt Một CSP quan trọng kịch khác mà không giới thiệu đến Với ví dụ suốt q trình thực thi PKI, bạn có lựa chọn việc sử dụng CSP Microsoft nhóm thứ ba Thường bạn nên sử dụng CSP nhóm thứ ba chọn giải pháp HSM để bảo vệ khóa riêng CA Kết luận Trong này, muốn giới thiệu cho bạn tầm quan trọng phần mềm chịu trách nhiệm cho việc liên kết giải pháp chứng thực đa hệ số với Windows Trong giới thiệu số thay đổi đôi chút với Windows Vista Windows Server 2008 với bạn nên quan tâm biết đến chúng thực thi giải pháp chứng thực đa hệ số cho tảng   ... thực giới thực Cách chuẩn bị CSP client nhóm thứ ba cho Windows XP Windows Server 2003 Chúng ta không vào hướng dẫn bước cách thực Tuy nhiên giới thiệu cho bạn số cách khác mà có CSP cách bạn... kích hoạt a, Bảo đảm driver cho thiết bị chứng thực đa hệ số bạn cài đặt làm việc b, Cài đặt gói phần mềm CSP client bảo đảm Windows biết thiết bị chứng thực Hình 10 thể cho bạn biết hiển thị CSP... cầu chứng thực đa hệ số Một số ứng dụng ứng dụng mà liệt kê đây: a MSGINA (nghĩa là) hình đăng nhập Windows Đưa thẻ thông minh nhập mã pin bạn vào để chứng thực Bạn kiểm sốt cách thao tác Windows