第3 章 - 使用智能卡帮助保护管理员帐户
Microsoft? Windows Server? 2003 允许组织通过一组特定帐户安全功能来帮助保护管理帐户。 除了满足管理员使用智能卡登录这一需求之外,Windows Server 2003 还支持使用以下列出的辅助操作进行智能卡身份验证:
?使用 net use 命令创建映射驱动器。
?通过在命令提示符处输入 runas 来使用 Secondary Logon 服务。
?通过使用 Active Directory 安装向导(可在命令提示符处输入 dcpromo 访问)来安装 Active Directory? 目录服务。
?通过 Windows Server 2003 远程桌面会话登录
?通过 Windows Server 2003 终端服务器会话登录
注意: 尽管 Microsoft Windows? 2000 支持使用智能卡访问进行身份验证,但它不支持这些附加功能,只有 Windows Server 2003 才提供这些功能。
使用智能卡保护管理员帐户的方法
由于 Windows Server 2003 支持辅助操作的智能卡身份验证,因此它能够更好地隔离用户和管理员帐户。 对于日常操作,管理员可使用非管理帐户登录工作站。 如果必须执行管理任务,管理员可使用智能卡并借助辅助操作来对操作进行身份验证。 与要求管理员输入用户名和密码或要求管理员使用管理员帐户注销并再次登录相比,此方案更安全且更便利。
标识管理员帐户和组
对管理员实施智能卡要求组织标识需要二元身份验证的管理员帐户。 为正确执行此步骤,您必须了解 Windows XP 和 Windows Server 2003 中的各个管理员帐户和组的特征。
组允许管理员将若干用户帐户放在一起进行管理。 Microsoft Windows NT? 和更高版本的操作系统包括带有内置管理权限的安全组。
这些安全组可以是本地组(在加入域的计算机上,如工作站和成员服务器)或默认组(在域控制器上)。 管理员帐户通过其中一个或多个安全组的成员身份接收特权。
本地组
加入域的计算机上的本地组具有各种级别的管理权限。 其中包括:
?Administrators。 此组的成员对本地计算机具有完全控制权限。 默认情况下,Administrator 用户帐户是此组的成员。 如果计算机是域的成员,则该域的 Domain Admins 组也是此组的成员。
?Backup Operators(所有计算机类型)。 此组的成员可以绕过 NTFS 文件系统权限来备份文件和文件夹。 Backup Operators 还可以关闭成员服务器。
?Power Users。 此组的成员对本地工作站或成员服务器上的资源具有有限的管理权限。 他们还可以关闭成员服务器。
?Print Operators。 此组的成员可以管理打印服务器、打印机和打印作业。 他们还可以关闭成员服务器。
有关 Windows Server 2003 中的默认组的完整描述,请参阅 Default Local Groups 主题,网址为 www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/lsm_local_groups.asp。
组织安全策略应该定义 Administrators 组、Server Operators 组和 Power Users 组中的哪些成员需要智能卡才能进行登录和管理。
默认组
每个域都有一些默认组在域控制器上提供管理功能。 这些组包括:
?Administrators。 此组的成员对域控制器有完全管理控制权限。 默认情况下,Administrators 帐户和 Domain Admins 组都是此组的成员。
?Backup Operators。 此组的成员可以绕过 NTFS 文件系统权限来备份文件和文件夹。 Backup Operators 还可以在本地登录和关闭域控制器。
?Server Operators。 此组对域控制器具有有限的管理权限,类似于工作站上的 Power Users。 Server operators 还可以在本地登录和关闭域控制器。
?Print Operators。 此组的成员管理打印服务器、打印机和打印作业。 他们还可以在本地登录和关闭域控制器。
?Account Operators。 此组的成员具有有限的权限来管理用户帐户和组。 他们可以以交互方式登录,但不能关闭域控制器。
有关默认组的详细信息,请参阅 Default groups 主题,网址为 www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_ADgroups_9builtin_intro.asp。
组织策略应该指定这些组的所有成员需要智能卡才能进行管理。
域和林默认组
除了默认组之外,创建 Active Directory 林会建立以下安全组:
?Domain Admins。 此组的成员对域中的所有对象具有完全控制权限。 林中的每个后续域也是 Domain Admins 组。
?Enterprise Admins(仅林根域)。 此组的成员对林中的所有对象具有完全控制权限。
?Schema Admins(仅林根域)。 此组的成员可以在架构中创建类和属性并管理架构操作主机。
注意: 为增加安全性,请将这三个组的成员保持在最小数目。
这些组的所有成员需要智能卡才能进行管理。
需要智能卡进行交互式登录
有两种方法需要智能卡进行交互式登录。 您可以配置:
?Active Directory 用户和计算机中的用户帐户属性。
?特定计算机或特定计算机组的组策略。
在大多数环境中,大多数管理方法是使用组策略。
用户帐户属性
可将任何用户帐户配置为需要智能卡进行交互式登录。 为此,在 Active Directory 用户和计算机中,双击用户,单击“帐户”选项卡,在“帐户选项”之下选择“交互式登录必须使用智能卡”复选框。 选择此选项会将用户密码更改为随机生成的复杂值,并将属性设置为“密码永不过期”。 如果禁用智能卡需求,您还必须重置用户密码。
由于设置智能卡需求会将用户密码重置为未知值,用户不能再使用用户名和密码组合登录至域。 因此,用户不能使用用户名和密码登录至 Microsoft Outlook? Web Access for Microsoft Exchange Server 2003 之类的程序。
您可以使用脚本在注册期间启用此设置。 但是,此方法要求您开发适当的脚本以便对选择的个人启用和禁用智能卡需求。
选择用户帐户智能卡需求后,管理员必须使用智能卡以交互方式登录至域中的任意计算机,而不仅仅是受保护的服务器。 如果并非所有计算机都有智能卡读取器,这样做可能不太方便。
如果通过用户帐户属性强制使用智能卡,则管理员不能远程管理运行 Windows 2000 Server 的计算机。 Windows 2000 Server 终端服务会话不支持智能卡重定向,因此管理员必须在本地登录来管理运行 Windows 2000 的任何计算机。如果管理员与服务器在不同位置,则此要求可能会造成不便。
组策略
更好的管理方法是使用组策略设置指定某些计算机需要智能卡进行交互式登录并控制用户移除智能卡时的操作。 您可以使用这些经过配置的设置创建组策略对象 (GPO),并将 GPO 链接至包含需要智能卡登录的计算机的组织单位 (OU)。 组策略中指向智能卡选项的路径为“计算机配置\Windows设置\安全设置\本地策略\安全选项”。 设置为“交互式登录:要求智能卡”和“交互式登录:智能卡移除操作”。
注意: 此设置要求带有 Service Pack 2 的 Windows XP 或此设置的更新。 有关详细信息,请参阅知识库文章 Update for the "interactive logon: require smart card" security setting in Windows XP,网址为 http://support.microsoft.com/?id=834875。
为获得最高安全性,应该需要智能卡进行交互式登录,然后将智能卡移除策略设置为锁定工作站或注销用户。 这些组策略设置应成为对管理员应用的自定义 GPO 的一部分。 GPO 可应用于站点、域或 OU 级别。 在大多数情况下,应用智能卡设置的 GPO 将应用于 OU。
注意: Microsoft 建议不要修改默认域控制器策略或默认域策略以包括智能卡设置或任何其他策略更改。 始终创建新的 GPO 或使用现有 GPO 来设置用于智能卡登录的组策略设置。
用于智能卡的组策略设置控制交互式登录并且不影响通过网络对服务器的访问。 交互式登录包括使用远程桌面或终端服务进行登录。
Microsoft 建议使用其他控制机制(如 IPsec 或组策略设置)对管理员实施智能卡以避免使用远程管理工具(如 Microsoft 管理控制台 (MMC) 工具)管理服务器。
在多个域和林中管理智能卡访问
对管理员实施智能卡要求您了解涉及多个域和林的问题。 例如,对于属于多个林中的 Domain Admins 组成员的管理员,可能对其拥有管理权限的每个林都需要一个智能卡。 此要求可能导致这些管理员必须使用多个智能卡。
尽管智能卡可以包含多个证书,对于每个证书颁发机构 (CA) 证书根,Windows Server 2003 当前只能接受一个智能卡登录证书(智能卡上的槽 0 中包含的证书)。 此限制可能要求某些网络管理员使用多个智能卡,除非组织在各个林之间有信任关系。
保护服务器
运行服务(如文件和打印)、数据库、电子邮件和目录的计算机需要比工作站更高级别的安全性。 特别是应该考虑对管理充当以下角色的计算机的所有帐户使用智能卡身份验证:
?域控制器
?数据库服务器
?证书服务器
?文件和打印服务器
保护域控制器
域控制器是使用二元身份验证时最重要的计算机,因为这些计算机包含并控制所有域帐户信息,并对每个帐户应用安全规则。 如果攻击者攻击域控制器,则可能会创建新帐户、提升特权或以管理员身份访问所有域控制器。
保护数据库服务器
数据库服务器存储组织运营的关键信息。 在签入和签出过程中,这些存储的信息可能通过审核跟踪数据访问请求受到严格控制。 例如,存储软件公司的源代码、饮料制造商的秘方或客户帐户信息的服务器都是数据库服务器。 智能卡身份验证应该保护对所有数据库服务器的访问。
组织应该标识高安全性服务器并与其所有者密切协作,以更改运行服务或计划任务的帐户类型,或者将这些帐户和服务器放到具有更高访问和用户限制的特殊安全组中。
保护证书服务器
宿主证书颁发机构和证书服务的服务器必须具有高级别的安全性。 证书颁发机构泄露将导致公司的完整性荡然无存,所有颁发的证书都变得不安全。 宿主证书服务的服务器在网络中必须具有最高级别的安全优先级,对于物理访问也是如此。
保护文件和打印服务器
文件服务器可以宿主重要的公司文档和机密信息。 泄露此信息会影响公司未来盈利或受到监管机构的处罚。 智能卡身份验证必须保护打印发票或银行支票的打印服务器。
有关 Windows Server 2003 中的安全功能的详细信息,请参阅 Windows Server 2003 Security Guide,网址为 www.microsoft.com/downloads/details.aspx?FamilyID=8a2643c1-0685-4d89-b655-521ea6c7b4db
在服务器上安装智能卡读取器
必须将智能卡读取器连接至组策略要求使用智能卡进行交互式登录的每台服务器。 大多数机架式安装的计算机背后都有 USB 端口,适合与智能卡读取器配合使用。 然后,您可以将智能卡读取器放在机架前端以便用户访问。 应清晰标记智能卡读取器以便管理员知道哪个读取器属于哪台服务器。
如果管理员必须登录至另一台服务器,则必须从第一个读取器中移除智能卡并将其插入与另一台计算机连接的读取器。 这样做很不方便,从而显得使用远程桌面管理服务器格外吸引人。
分发智能卡
要规划对管理员分发智能卡的过程,需要完成以下活动:
?为智能卡分发创建合适的组。
?任命充当注册代理的安全主管。
?选择传输卡的适当方法。
?执行严格的身份检查。
应创建包含所选管理员帐户的临时安全组。 还需要包含已激活帐户的安全组。 注册过程的一部分涉及将管理员帐户从临时组移至已激活组。
分发过程要求任命安全主管。 这些安全主管可以:
?将智能卡交给注册站。
?充当注册代理。
?执行严格的身份检查。
身份检查必须很严格。 安全主管应该就适当的身份文件(如护照或驾照)对管理员本人进行验证,并向其业务主管确认他们的身份。
组织还应该考察管理员的背景。 这些检查在金融部门或受监管要求限制的公司尤其重要。 有关管理员的背景安全检查的详细信息,请参阅 The Security Monitoring and Attack Detection Planning Guide,网址为 http://go.microsoft.com/fwlink/?LinkId=41309。
激活智能卡
应在安全位置(如用来发放允许访问到户的通行卡的办事处)激活智能卡。 安全主管使用两个智能卡读取器建立注册站并使用自己的智能卡登录。
安全主管在确认管理员的身份后将为该用户帐户提出证书申请。 他将开出新的智能卡并安装申请的证书。 然后,安全主管会将管理员帐户从暂挂组移至已激活组。 最后,他会记下智能卡的序列号,然后将智能卡交给管理员。
然后,管理员使用 PIN 重置工具来重置默认 PIN 或将 PIN 解锁工具与激活 Web 服务器配合使用来设置新的 PIN。 管理员的智能卡现在已经可以使用了。
管理智能卡
实施智能卡并非一次性操作,因为卡上嵌入的安全证书需要管理,您必须处理管理员忘记携带智能卡、丢失智能卡或智能卡被盗的情况。 应该为智能卡管理建立适当的过程和预算。
例外管理
应该创建临时帐户例外组,以管理管理员忘记携带智能卡或智能卡被盗的情况。 管理员加入此组 24 到 48 小时(忘记携带智能卡的情况)或直到注册代理可以发出新的智能卡(智能卡丢失或被盗的情况)。 管理员有了新的智能卡之后,您可以将其从临时例外组的成员中删除。
为此,创建新的安全组以容纳例外帐户。 然后,对智能卡实施组策略配置权限,以拒绝例外组的“读取”和“应用组策略”权限。 例外组的任何成员都不再需要使用智能卡进行交互式登录。 有关配置组策略安全设置的详细信息,请参阅 To filter the scope of Group Policy according to security group membership 主题,网址为 www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/filter.asp。
您可能还必须管理具有管理特权但不能使用智能卡登录的帐户,如使用管理特权运行的服务或计划任务。 为此,将服务帐户添加至永久例外安全组,并按上段所述为该组配置组策略权限。
有关如何配置服务帐户的详细信息,请参阅 The Service and Service Accounts Security Planning Guide,网址为 http://go.microsoft.com/fwlink/?LinkId=41311。
证书吊销
在某些情况下(例如,私钥泄露、智能卡用户的任务发生变化或者用户离开公司),您可能必须吊销证书。 吊销证书时,此操作会将有关证书的详细信息发布至证书吊销列表 (CRL) 位置。 此位置通常是 URL 或网络 UNC 路径。
颁发的证书包括分发点列表,身份验证服务器可在其中针对 CRL 验证证书的状态。 有关证书吊销的详细信息,请参阅 Revoking certificates and publishing CRLs 主题,网址为 www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_CS_SrvAdCRL.asp。
证书续订
智能卡上的数字证书的到期日期取决于创建智能卡证书的证书模板中的设置。 供智能卡使用的证书一般的使用寿命为 6 个月到两年。
证书即将到期时需要续订,以确保所有者可以继续使用证书或更换它。 在证书续订时,续订申请人已经拥有证书。 提交续订申请时,续订会将当前证书的信息放入帐户中。 然后可使用新的密钥或使用当前密钥续订证书。
证书自动注册
证书自动注册是 Windows Server 2003 Enterprise Edition 证书服务的一项功能,可以使用现有证书自动签署续订申请以获取新证书。 此功能有助于管理大量的证书。 有关证书自动注册的详细信息,请参阅 Certificate Autoenrollment in Windows Server 2003,网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/autoenro.mspx。
监视智能卡的使用
在执行高特权操作(如服务器重新启动、管理用户帐户和配置文件权限)时,管理员使用启用智能卡的帐户。 恶意或缺乏培训的管理员很可能会破坏网络基础结构。 因此,应监视安全日志以记录管理员使用智能卡登录和注销的时间。
可监视并评估安全事件日志的企业管理工具(如 Microsoft Operations Manager (MOM) 2005)适合监视智能卡的使用。 有关如何监视安全事件日志的详细信息,请参阅 The Security Monitoring and Attack Detection Planning Guide,网址为 http://go.microsoft.com/fwlink/?LinkId=41309。
问题和需求
本节描述 Woodgrove National Bank 在设计使用智能卡保护管理员帐户的解决方案时遇到的具体问题和需求。
背景
Woodgrove National Bank 拥有若干关键服务器,它们需要严格的管理控制和安全访问。 管理员目前使用用户名和密码组合对这些关键服务器进行身份验证。 未经授权的用户曾经尝试使用盗用的凭据访问关键服务器。
业务问题
Woodgrove National Bank 已经确定了以下三个业务连贯性和管理员权责归属问题:
?权责归属。 IT 部门不能验证使用用户名和密码身份验证的管理员对服务器所做的关键更改,因为管理员通常共享凭据。
?凭据保护。 恶意或不道德的用户会窃取管理员的凭据,从而严重影响公司的声誉,并使得公司因停机时间而产生经济损失。 智能卡身份验证可以大大降低盗用管理员凭据的可能性。
?业务连贯性。 由于 Woodgrove National Bank 不允许因为网络配置更改而中断业务服务,因此智能卡解决方案的实施阶段必须谨慎规划。
技术问题
Woodgrove National Bank IT 部门已确定了实施智能卡解决方案时必须克服的以下技术问题:
?对智能卡读取器的支持。 管理员必须使用智能卡访问的每台服务器都必须提供对智能卡读取器的硬件支持。
?实施操作最佳做法。 智能卡部署的完整性取决于有效的长期管理和维护。 Woodgrove National Bank IT 应实施 Microsoft 操作框架 (MOF) 概述的操作最佳做法。
?使用管理员权限在受智能卡限制的服务器上运行的计划任务。 Woodgrove National Bank 运行使用具有管理员级别特权的帐户的计划任务。 Woodgrove National Bank 需要检查这些帐户,并尽可能使用不需要管理特权的帐户。 Woodgrove National Bank 还必须实施永久排除组,该组包括运行计划任务以便豁免智能卡登录要求的所有帐户。
?与 UNIX 集成。 Woodgrove National Bank 操作一个异构环境,因此需要注意智能卡与运行 UNIX 的计算机的集成。 Woodgrove National Bank 计划调查同时为 Windows 和 UNIX 提供集成智能卡身份验证的产品,如 CyberSafe Limited 的 TrustBroker。
安全问题
使用智能卡帮助保护管理员帐户的目的在于提高安全性和权责归属。 Woodgrove National Bank IT 部门已经确定了银行在部署解决方案之前必须解决的以下安全问题:
?分发和激活。 智能卡的分发和激活对于维护整个解决方案的完整性非常重要。 由于 Woodgrove National Bank 的驻点遍布全球,因此 Woodgrove IT 不能从单个源位置分发智能卡。 在维护项目完整性方面,验证智能卡接收人是很关键的一个因素。 Woodgrove National Bank 计划部署使用人力资源标识数据的安全团队,以确保他们发出的每张智能卡都能送到正确的人员手中。
?管理权限的最低特权方法。 Woodgrove National Bank 应检查当前网络管理模型,并降低使用完全管理特权运行的用户和服务帐户数。 银行仅应分配管理员完成工作所需的特权。 分析并降低管理员帐户的数目有助于部署、监视和持续管理智能卡解决方案。
?管理服务帐户。 Woodgrove IT 已检查程序服务帐户,并且确保尽可能少的服务需要管理员安全上下文。 许多程序被标记为需要升级或替换。
?处于完全信任关系中的每个林需要一个智能卡。 Woodgrove National Bank 有两个林是通过双向信任关系链接的。 尽管智能卡可以包含多个证书,但 Windows Server 2003 仅使用智能卡的槽 0 中的证书进行交互式登录。 此设计要求跨多个未链接林工作的网络管理员有多个智能卡。 但是,如果对带有一个智能卡的管理员进行身份验证的林与一些林有完全信任关系,则该管理员可以访问所以这些林中的资源,除非信任林中的安全限制凌驾于此访问之上。
?PIN 管理。 如果用户可以很方便地更改 PIN,则智能卡解决方案的安全性和完整性会大大增强。 因此,Woodgrove National Bank IT 部门从所选智能卡供应商处得到了适当的 PIN 管理工具。
解决方案要求
在检查初始试验后,Woodgrove IT 开发了具体的解决方案需求。 Woodgrove National Bank 用于帮助保护带有智能卡的管理员帐户的解决方案必须:
?确保受保护服务器需要有效的智能卡进行交互式、辅助或远程桌面登录。
?安全适时地分发和激活智能卡。
?对安全服务器的访问进行审核,并且在中央存储库中收集生成的安全数据。
?允许管理和监视智能卡的使用。
?确保快速吊销泄露的证书,如丢失或被盗的智能卡。
?提供持续管理结构。
Woodgrove National Bank 已经确定了初始规划中突显的一些关键业务、技术和安全问题。 Woodgrove IT 执行检查以解决这些问题并测试解决办法和措施。 Woodgrove National Bank 已经为解决方案的部署阶段创建了详细的规划。
设计解决方案
在了解智能卡解决方案必须解决的业务、技术和安全问题后,您可以设计适合您的环境的解决方案。 设计过程标识基本元素,并且在逻辑上分析规划解决方案的需求。
Woodgrove National Bank 已经进行了评估。 本节描述 Woodgrove National Bank 系统架构师考虑的初始规划中的问题、得出的结论以及所做的设计决策。
本节概述 Woodgrove National Bank IT 人员为帮助使用智能卡保护管理员帐户所做的设计选择。 它详细描述了解决方案概念及其必备条件,同时描述了 Woodgrove National Bank 规划的体系结构。
解决方案概念
在建议的解决方案中,所有服务器管理活动都需要通过提供存储在智能卡上的证书及其相应的 PIN 验证管理员的身份。 解决方案使用组策略设置、X.509 V3 用户证书、智能卡和智能卡读取器的组合。 解决方案要求在智能卡上安装 X.509 V3 证书。
要登录至服务器,管理员应将智能卡插入安装在计算机上的智能卡读取器。 插入智能卡后,操作系统会提示输入 PIN。 然后管理员输入智能卡的 PIN。 如果 PIN 正确,管理员可使用管理权限访问服务器。
解决方案先决条件
当开展此类项目时,需要满足一些先决条件。 这些先决条件包括招募项目团队、咨询用户群、实施测试或试验以及需要升级硬件和软件以满足解决方案需求。
咨询管理团队
更换用户服务的一个关键注意事项是咨询所涉及的用户和组。 另一方面,用户必须了解他们期望从服务中得到的好处和想要避免的问题。 相互咨询和用户期望管理通常是决定用户接受度的关键所在。 必须设置可度量的目标才能理性判断项目最终成功与否。 这些目标可能包括降低与盗用凭据关联的相关安全事件。
Woodgrove National Bank 在全球许多国家/地区运营并使用区域支持中心。 初始设计团队广泛游说所有地区的管理团队,以找出适合进行智能卡解决方案的服务器。 该团队还会找出在可接受时间范围内无法升级以满足解决方案先决条件的任何服务器。
招募项目团队
确保有适当的人员和技术来实施这样的项目。 项目团队可能需要包括来自以下典型职位的人员:
?项目经理
?信息系统架构师
?系统分析员或集成人员
?系统工程师
?产品发布经理
?产品测试经理
?支持或咨询台经理
?用户支持专家
?安全主管
有关典型职位和 MOF 角色关联的详细信息,请参阅 The Microsoft Solutions Framework Supplemental Whitepapers – IT Occupation Taxonomy,网址为 www.microsoft.com/downloads/details.aspx?FamilyID=839058c3-d998-4700-b958-3bedfee2c053
如果公司内没有具有特定技术的人员,必须另外招募人。 由于项目通常不需要在所有阶段需要所有人,因此您必须确定整个项目期间每个人的作用。
解决方案体系结构
实施智能卡解决方案帮助保护管理员帐户需要:
?Active Directory
?组策略
?Windows Server 2003 Enterprise Edition 和公钥基础结构 (PKI)
?运行 Windows Server 2003 的服务器具有智能卡读取器
?注册站
?个性化智能卡
?PIN 管理工具
在实施解决方案之前,Woodgrove National Bank 会执行下列过程:
?将证书服务升级至 Windows Server 2003 Enterprise Edition 或更高版本。
?将所有被管理的服务器升级至 Windows Server 2003,以支持使用终端服务的交互式登录。 此需求取决于应用程序的兼容性。
?自定义智能卡证书用户模板,并设置适当的权限。
?为智能卡实施、临时排除和永久排除创建并测试组策略对象 (GPO)。
Woodgrove National Bank IT 还会实施以下问题的解决方案:
?分发智能卡
?激活智能卡
?管理和支持智能卡
?管理例外
智能卡分发
在分发智能卡之前,Woodgrove National Bank IT 部门将其管理员放在 Active Directory 临时安全组中。 需要一个安全主管团队来验证管理员的身份并分发智能卡。 管理员接收到智能卡之后,IT 部门将管理员从临时组移至智能卡用户组。 然后管理员就可以访问激活 Web 服务器,以激活他的智能卡并更改 PIN。
智能卡激活
由于管理员接收的智能卡处于暂挂状态,这些卡在使用之前仍需激活。 管理员将卡插入智能卡读取器,输入质询然后更改 PIN 就会激活智能卡。
智能卡管理和支持
尽管 Woodgrove National Bank 的管理员技术精通,但是智能卡部署团队还是需要与咨询台密切协作。 咨询台人员需要适当的指导以便处理出现的任何询问。
例外管理
Woodgrove National Bank 建立了公司策略以处理丢失、被盗或忘记携带的智能卡。 对于丢失或被盗的智能卡,IT 部门将吊销所有分配的证书,并在 24 小时内发出新智能卡。 IT 部门会处理管理员忘记携带智能卡工作的情况,并将他们的帐户移入例外组 24 小时。 例外组的成员不需要进行智能卡登录。 尽管证书可能被吊销,但这并不意味着智能卡同时被停用。 Woodgrove 必须检查 CRL 策略以符合安全策略。
包含永远不需要智能卡的例外(如服务帐户和计划任务)归为单独的一组。
证书吊销
Woodgrove National Bank 管理员的智能卡登录证书使用内部 URL 来查找 CRL 并检查吊销证书。 IT 部门实施 Windows 网络负载平衡 (NLB) 以确保宿主 CRL 的网站具有高可用性。
证书续订
Woodgrove National Bank IT 部门开发的证书续订过程要求管理员的经理审批智能卡续订申请。 经理批准申请后,当前证书会签署证书申请,而智能卡证书得到续订。
监视解决方案
Woodgrove National Bank 使用 Microsoft Operations Manager (MOM) 2005 来收集和分析安全事件日志,并监视解决方案的可用性和性能。 智能卡解决方案与 MOM 集成、监视安全事件日志,并提供警报和生成使用报告。 Woodgrove National Bank 计划每季度检查该服务,并根据 MOM 数据生成报告。
解决方案如何作用
本节描述智能卡登录的身份验证期间发生的详细过程。
1. 管理员将智能卡插入与计算机连接的智能卡读取器,Microsoft Graphical Identification and Authentication DLL (MSGINA) 和计算机将提示用户输入 PIN。
2. MSGINA 将 PIN 传递至本地安全机构 (LSA),而计算机使用 PIN 访问智能卡。
3. 客户端 Kerberos 程序包从管理员的智能卡读取 X.509 V3 证书和私钥。
4. Kerberos 程序包将身份验证服务请求发送至在域控制器上运行的密钥发行中心 (KDC) 服务,以请求身份验证和票证授予票证 (TGT)。 身份验证服务请求包括列示用户安全标识符 (SID) 的特权属性证书 (PAC)、用户所属的任何组的 SID 以及针对票证授予服务 (TGS) 的请求和预身份验证数据。
5. KDC 验证用户证书的证书路径以确保证书来源可信。 KDC 使用 CryptoAPI 来构建从管理员证书至驻留在域控制器上的根存储区中的根 CA 证书的证书路径。 然后,KDC 使用 CryptoAPI 在验证器上验证作为签名数据包括在预身份验证数据字段中的数字签名。 域控制器验证签名,并使用来自管理员证书的公钥来证明申请是公钥的所有者发出的。 KDC 还会验证颁发者是否可信,并且是否出现在 NTAUTH 证书存储区中。
6. KDC 服务根据管理员证书的“使用者备用名称”字段中指定的用户主要名称 (UPN) 从 Active Directory 检索用户帐户信息。 KDC 通过从 Active Directory 中检索的用户帐户信息构造 TGT。 TGT 包括管理员的安全标识符 (SID)、管理员所属的任何域组的 SID 以及(在多域环境中)用户所属的通用组的 SID。 TGT 的授权数据字段包括 SID 列表。
注意: SID 是在 Windows NT 或更高版本的计算机上的本地安全帐户数据库中或在 Active Directory 中创建用户帐户或组帐户时为每个用户或组创建的安全标识符。 即使用户或组帐户已重命名,SID 也决不会改变
7. 域控制器将 TGT 返回给客户端。 客户端或卡破译 TGT,并使用其私钥来获取 KDC 密钥。 这取决于使用的卡或证书的类型。
8. 客户端验证 KDC 的答复。 首先,它会通过构造从 KDC 证书至可信根 CA 的证书路径来验证 KDC 的签名,然后使用 KDC 的公钥来验证答复签名。
下图说明此过程。
图 3.1 智能卡登录身份验证过程
Woodgrove National Bank IT 人员将 GPO 链接至包含需要智能卡身份验证的服务器的组织单位。 此 GPO 将更改应用到以下计算机配置设置:
?交互式登录需要智能卡
?移除智能卡将强制帐户注销
这些设置有助于避免管理员共享智能卡或在登录时让服务器处于无人值守状态。
扩展解决方案
Woodgrove National Bank 计划将智能卡解决方案集成到服务器和应用更改管理过程中。 计划是对更改管理过程的每个阶段进行身份验证,然后将此过程集成到工作流中。 例如,对 Woodgrove Web 服务器的更改将需要来自两个或两个以上 Web 管理员的验证。
总结
使用智能卡对管理员用户帐户进行身份验证将降低对关键计算机进行欺骗性访问的可能性,并且可以增强服务器管理的完整性和权责归属。 对管理员实施智能卡可以降低安全事件的发生,并且可以提高管理过程的质量,对您的组织非常有利。
| 共4页: 上一页 [1] [2] 3 [4] 下一页 |