第 4 章 - 使用智能卡帮助保护远程访问帐户
大多数组织都必须通过拨号或虚拟专用网络 (VPN) 连接来提供对网络资源的远程访问。 业务实践的不断变化(如提供对远程用户或现场销售人员的支持)只会加速这一趋势。 尽管远程访问对组织有很多好处,但是任何外部访问都会使组织的网络面临很大的潜在安全威胁。 支持远程访问的网络对二元身份验证的需求日益增长。
使用智能卡保护远程访问
远程访问应允许所有授权员工访问组织的 Intranet 资源。 为便于通过 VPN 进行远程访问,必须在外部防火墙上打开一些端口。 虽然这会增强网络的可访问性,但是也使攻击者能够通过这条路径穿透网络。
本指南的第 1 章“简介”指出,依靠用户名和密码的帐户身份验证使所有访问控制安全都集中在密码上。 密码很容易泄露,对公司网络具有远程访问权的泄密帐户的凭据可能会被犯罪组织利用。
尽管您可以对用户帐户配置域密码锁定策略,但是帐户锁定策略可能导致不断锁定远程用户帐户而引起拒绝服务攻击 (DoS)。 尽管此攻击不会泄露网络上的任何信息,但是会导致锁定用户无法访问。
使用嵌入在智能卡中的数字证书的用户身份验证功能十分强大,它提供可靠而灵活的方法来保护远程访问连接。
客户端要求
使用智能卡控制远程访问取决于远程客户端上运行的组件。 您必须十分了解这些组件,特别是连接管理器和连接管理器管理工具包 (CMAK)。 连接管理器的主要任务是自动建立和管理网络连接。 连接管理器支持智能卡访问配置的以下几个关键方面:
?可扩展的身份验证协议–传输层安全 (EAP-TLS),用于 VPN 和远程访问连接
?应用程序级安全检查,用于自动管理客户端计算机配置
?计算机安全检查和验证,这是登录过程的一部分
有关连接管理器和 CMAK 的详细信息,请参阅 Connection Manager Administration Kit,网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/be5c1c37-109e-49bc-943e-6595832d5761.mspx。
用于客户端的连接管理器
要实施可管理的远程访问解决方案,必须创建连接管理器设置并将其部署至多个客户端。 要将连接管理器部署至多个客户端,应创建连接管理器配置文件。
连接管理器配置文件是自定义的连接管理器客户端拨号程序包,这些程序包是您使用 CMAK 创建的并且以自解压可执行文件的形式部署至客户端计算机。 您可以使用任何软件分发机制来分发配置文件,如组策略、Microsoft? Systems Management Server 2003、CD 或 USB 密钥。
运行可执行文件时,它将配置文件安装到本地计算机上,另外还安装相应的电话号码或主机地址以连接至远程访问服务器。 当用户通过连接管理器配置文件启动连接时,连接管理器将自动检查是否存在智能卡并提示用户输入 PIN。 如果用户提供正确的 PIN,连接管理器将建立相应的拨号连接和 VPN 连接并对用户凭据进行验证。
连接管理器还可以简化用户的连接过程。 它会限制用户可更改的配置选项数,并帮助确保用户总能连接成功。 组织可以自定义连接管理器以定义以下各项:
?可用的电话号码。 根据用户物理位置提供给用户的电话号码列表。
?自定义内容。 拨号程序可包括自定义图形、图标、消息和帮助内容。
?预先隧道连接。 在尝试进行 VPN 连接之前,自动进行与 Internet 的拨号连接。
?连接前和连接后操作。 例如,能够重置拨号程序配置文件或配置 Windows 防火墙以忽略包过滤规则例外情况。
操作系统要求
远程访问智能卡解决方案仅适用于 Microsoft Windows? XP Professional。 Microsoft 建议使用 Windows XP Professional SP2 或更高版本。 客户端计算机应安装所有最新的安全更新。
服务器要求
智能卡访问的服务器要求相对简单。 远程访问服务器必须在 Windows 2000 Server 或更高版本上运行,并且必须支持 EAP-TLS。
注意: 与管理员智能卡方案不同,远程访问智能卡方案不需要 Microsoft Windows Server? 2003,尽管强烈建议您将 PKI 升级至 Windows Server 2003 Service Pack 1 (SP1) 或更高版本。
拨号和 VPN 考虑事项
使用智能卡保护远程访问的解决方案支持通过综合业务数字网 (ISDN) 或公用电话交换网 (PSTN) 连接进行拨号访问,但用户的登录时间可能会延长。
使用 VPN 连接的远程连接对远程访问服务器产生附加处理器负荷。 智能卡保护的登录不会增加太多负荷,但登录时间会延长。 为大量入站连接服务的 VPN 远程访问服务器需要速度较快的处理器,在多处理器配置中会更好。 使用 IPsec 保护的 VPN 的组织可以实施网卡,使 IPsec 加密处理负荷转移到网卡上的单独处理器上。
支持可扩展的身份验证协议
EAP-TLS 是一种相互身份验证机制,与身份验证方法和安全设备(如智能卡和硬件令牌)配合使用。 EAP-TLS 支持点对点协议 (PPP) 和 VPN 连接,并且允许交换用于 Microsoft 点对点加密 (MPPE) 的共享密钥。
EAP-TLS 的主要优点在于它能够抵抗暴力攻击并且支持相互身份验证。 在使用相互身份验证时,客户端和服务器必须相互证明身份。 如果客户端或服务器未发送证书以验证身份,连接将终止。
Windows Server 2003 支持对拨号和 VPN 连接使用 EAP-TLS,从而允许对远程用户使用智能卡。 有关 EAP-TLS 的详细信息,请参阅 Extensible Authentication Protocol 主题,网址为 www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/auth_eap.mspx
有关 EAP 证书要求的详细信息,请参阅 Certificate Requirements when you use EAP-TLS and PEAP with EAP-TLS,网址为 http://support.microsoft.com/default.aspx?scid=kb;en-us;814394
标识身份验证服务器要求
要进行登录,远程用户必须向身份验证服务提供凭据。 Windows 为远程用户提供了两种身份验证服务:
?Internet 验证服务 (IAS) 服务器
?Active Directory? 目录服务
如果您的组织决定使用远程身份验证拨入用户服务 (RADIUS) 身份验证提供程序,必须在配置中包括 IAS 服务器。 IAS 是 Microsoft 实施的 RADIUS,并且作为服务在 Windows 2000 Server 或更高版本上运行。
如果对使用智能卡进行的 RADIUS 身份验证实施 IAS,组织将获得的好处包括:
?集中进行用户授权和身份验证
?独立的管理和记帐机制
?大量授权和认证选项
IAS 服务器管理身份验证过程。 IAS 将用户的身份验证请求和登录证书信息发送至 Active Directory,然后 Active Directory 会比较登录证书和该远程用户的已存储证书信息。 如果证书信息相匹配,则 Active Directory 将认可该用户的身份。
有关使用 IAS 的设计解决方案的详细信息,请参阅本章稍后的“设计解决方案”。
远程访问智能卡的分发和注册
远程访问智能卡的分发和注册过程类似第 3 章“使用智能卡帮助保护管理员帐户”中描述的管理员帐户解决方案的过程。 主要差别在于用户更多,并且该过程可能会在多个国家/地区实施。
远程用户身份的验证仍然是该过程的重要部分。 但是,因为远程用户的权限与管理员权限不同,所以使用相片标识(如护照或驾照)作为标识就足够了。 在管理员授予用户远程访问权之前,经理必须提供正当理由。
注册站仍然应该位于适当位置(如人事部或安全部),并且用户可以向这些位置报告以收集他们的智能卡。 如果用户不能来到注册站,您可以使用远程工具解除锁定,注册该用户并激活智能卡。
注册过程要求注册代理代表用户生成证书请求并在智能卡上安装生成的证书。 注册代理通过安全的传送方法将已锁定的智能卡发送给用户。 然后用户与咨询台联系,确定身份并解除智能卡的锁定,这在第 2 章“智能卡技术”中的“激活 Web 服务器”一节有描述。
其他考虑事项
在组织内引入安全的远程访问通常会导致想要使用该服务的用户增加。 组织必须检查当前的网络基础结构并在必要的位置提供更多资源。 要考虑的方面包括:
?证书吊销列表
?高可用性和带宽
?软件更新分发
证书吊销列表
实施远程用户证书包括更改客户端查找证书吊销列表 (CRL) 以检查证书是否仍然有效的方式。 默认的 Windows Server 2003 统一资源定位器 (URL) CRL 指向某个 Intranet 位置,例如 URL=http://Certification_Root_Server_DNS_Name/CertEnroll/
Certification_Authority_Name.crl。
对于远程用户,此 URL 必须指向可从 Internet 访问的位置。 此要求涉及所有已发放的证书,并包括 CRL 的 Intranet 和 Extranet URL。 有关自定义 CRL 的详细信息,请参阅 Specify certificate revocation list distribution points in issued certificates 主题,网址为 www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_CSprocs_CDP.asp。
注意: 如果远程计算机通过低速连接下载 CRL,可能会遇到超时问题。
软件更新分发
实施软件更新分发机制是为用户访问提供智能卡的重要步骤。 软件更新包括更新的连接管理器配置文件和智能卡工具的新发行版。
可通过以下方式分发软件更新:
?包含更新并且可从外部访问的 Web 服务器。
?CD 或 USB 密钥。
?软件管理解决方案,如 Systems Management Server (SMS) 2003。
?包含用代码签名的更新的电子邮件。
如果实施 VPN 隔离,可通过用来提供安全更新和防病毒软件的方法来分发连接管理器配置文件更新。 有关 VPN 隔离的详细信息,请参阅 Implementing Quarantine Services with Microsoft Virtual Private Network Planning Guide,网址为 http://go.microsoft.com/fwlink/?LinkId=41307。
通过可从外部访问的 Web 服务器提供连接管理器和智能卡更新时,用户可以在连接至组织的网络之前下载更新。 此解决方案的缺点在于不能使用智能卡对外部 Web 服务器进行身份验证。 在此情况下,用户必须依靠用户名和密码组合来登录并下载更新。 尽管这好像与二元身份验证的目的相抵触,但因为此 Web 服务器只提供更新资源,所以可以认为这一风险是可以接受的。
使用 CD 分发更新在大规模的初次更新时非常有效,这是因为在大量生产时每张 CD 的成本会降低。 USB 密钥更适合于分发个人更新。
使用软件管理系统(如 Systems Management Server 2003)分发软件更新要求计算机连接至网络。 此机制适合于定期连接至 LAN 的移动用户和远程用户以及使用作为组织域成员的计算机的用户。 但是,软件更新机制(如 Systems Management Server)不适合于在家使用自己计算机的远程用户。
在某些情况下,可通过电子邮件发送更新。 要使用此方法实施软件分发,必须提供用代码签名的更新并且培训用户检查代码签名证书的真实性。
本节讨论了可为远程访问帐户提供智能卡身份验证的组件。 下一节将讨论有关 Woodgrove National Bank 在实施智能卡过程中遇到的问题和需求。
问题和需求
在智能卡远程访问解决方案规划和设计阶段,Woodgrove IT 人员发现了一些业务、技术和安全方面的问题。 接下来的部分将讨论这些问题。
Woodgrove National Bank 方案背景
Woodgrove National Bank 为销售人员、IT 支持人员和行政人员提供对公司网络的远程访问。 当前远程访问解决方案利用基于专用线路的拨号网络连接至配备了调制解调器或综合业务数字网 (ISDN) 适配器的专用远程访问服务器。 与宽带相比,这些连接速度很慢并且成本高昂,对于在全球旅行的远程用户来说尤其如此。
宽带 Internet 访问的可用性更强,使组织能够使用 VPN 进行远程访问。 尽管同时增加了受到恶意攻击的可能性,但此方法通过避免拨号访问降低了成本,并且提供了更好的用户体验。
遵守法律要求
作为金融机构,Woodgrove National Bank 必须严格遵守各个国家/地区的法律要求。 银行必须通过保护公司和客户资产来保持客户信任度。 Woodgrove National Bank 实施了安全的计算机方案并在访问公司网络的所有计算机上设置了严格的安全策略,不管这些计算机是连接至局域网 (LAN) 还是以远程方式连接都是如此。
验证用户
Woodgrove National Bank 的当前远程访问解决方案不能很好地应付仿冒攻击(攻击者尝试猜测用户名和密码组合)。 仿冒攻击导致远程访问帐户被锁定,这将阻止合法用户进行连接。 此漏洞增加了公司网络的风险,并且强迫 Woodgrove National Bank 限制提供给员工的连接选择。
业务问题
许多行政人员使用远程访问。 尽管在部署智能卡解决方案时安全性极为重要,但是保持远程员工的工作效率也很重要。 部署的解决方案必须在这些需求之间取得平衡。
保持工作效率
员工通常对基于安全性但影响工作效率的解决方案失去信任。 如果用户在部署解决方案期间及之后无法访问网络资源,他们将会产生挫败感。 Woodgrove IT 必须提供替代访问方法以帮助克服这些故障。 以下工具列表提供网络访问的替代方法:
?Outlook 网站访问。 允许用户通过 Web 浏览器安全地访问电子邮件。
?远程桌面和终端服务。 员工可使用远程桌面和终端服务来访问业务范围内的应用程序和桌面文件。
咨询台支持
用户接受度和远程访问解决方案的完整性通常取决于提供支持的级别。 如果行政人员花很多时间等待获得支持,他们将会产生挫败感。 组织必须为培训最终用户和支持人员作出预算。
技术问题
Woodgrove National Bank 找出了若干在部署远程访问智能卡之前需要注意的关键技术问题。 这些问题包括分发智能卡和智能卡读取器、以最小的代价将解决方案集成到当前网络及当前 IT 管理基础结构中。
?支持的智能卡读取器。 远程用户可从家中在运行各种操作系统的多个计算机上工作。 Woodgrove IT 部署决定唯一受支持的配置将是 Windows XP Professional SP2 或更高版本。 如果远程用户运行 Windows 2000 Professional,则不能保证智能卡读取器适用于他们的计算机。
?网络延迟。 在客户端与远程访问服务器之间来回传送包的时间可能导致 VPN 保护的连接失败。 在卫星宽带连接中,此问题尤其明显。 Woodgrove National Bank 决定不支持平均延迟时间超过 300 毫秒的远程连接。
?智能卡分发。 因为 Woodgrove National Bank 在全球多个国家/地区运营,所以智能卡的分发既是技术问题又是安全问题。 不管在哪个国家,注册代理必须能够与激活 Web 服务器联系。或者,用户可能必须通过质询/响应系统解除智能卡的锁定。 可能需要使用智能卡供应商的软件开发工具包 (SDK) 进行开发才能创建质询/响应系统。
安全问题
下列问题影响 Woodgrove National Bank 实施使用智能卡保护远程访问的安全战略:
?远程访问用户标识。 在智能卡分发和激活过程中,Woodgrove National Bank IT 部门必须验证远程访问用户的身份。
?Woodgrove 解决方案的连接例外。 因为智能卡可能会丢失、被盗或忘记携带,Woodgrove IT 部门必须确保智能卡部署解决方案包括安全分发替代智能卡的快速方法和处理传送替代智能卡期间的例外情况。
解决方案要求
使用智能卡保护远程访问帐户的解决方案要求包括下列各项:
?Intetnet 验证服务 (IAS)。 当前 IAS 服务器需要升级到 Windows Server 2003 Service Pack 1 或更高版本,以便使用改进的 IP 过滤器并接受特定于供应商的属性。 此外,Woodgrove IT 必须在远程访问服务器上启用对 EAP-TLS 的支持。
?智能卡用户模板。 Woodgrove National Bank 必须自定义证书模板并针对模板设置正确的权限。 证书注册代理和智能卡登录模板需要适当的权限。
注意: 可通过设置远程访问策略将远程访问限制为只能通过智能卡证书进行,以便仅接受带有特定对象标识符的证书。 有关证书模板和对象标识符的详细信息,请参阅在 Windows Server 2003 中实现和管理证书模板白皮书,网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.mspx。
?PIN 管理工具。 用户需要软件实用工具来管理自己的 PIN。 大多数智能卡供应商提供基本 PIN 管理工具。 Woodgrove IT 决定提供其他自定义设置以便将 PIN 管理工具与远程 PIN 解锁实用工具集成。
?组策略对象 (GPO)。 Woodgrove IT 必须为组织单位结构创建相应的 GPO。 这些 GPO 必须包括支持例外情况的设置,如用户丢失或忘记智能卡或 PIN 的情况。
?连接管理器配置文件。 Woodgrove IT 必须创建特别配置的连接管理器配置文件,这些配置文件包含用于 Woodgrove 远程访问服务器的相应拨号或 VPN 服务器连接设置。 Woodgrove IT 人员还需要自定义连接管理器配置文件用户界面中的文本,以帮助用户了解连接过程并告诉用户在出现问题时如何处理。 Woodgrove IT 为不同的用户(如行政人员和常规用户)创建不同的连接管理器配置文件,并为管理人员创建一个连接管理器配置文件。 在连接设置期间,每个配置文件都有不同的优先级。 不管网络通信级别如何,管理员都可以进行远程连接。
?Windows XP Professional Service Pack 2。Woodgrove National Bank 必须将所有远程访问计算机升级到 Windows XP Professional SP2 或更高版本。 Windows XP Professional SP2 提供改进了的安全功能(如 Windows 防火墙),并能更好地支持自动更新以增强远程访问解决方案的完整性。 Windows XP Home SP2 在安全方面有很多优点,但不能连接域和使用组策略。 Windows 2000 Professional SP4 没有 Windows XP Professional SP2 的增强安全功能。
?智能卡和智能卡读取器采购。 尽管 Woodgrove National Bank 有功能良好的 PKI,但是银行将 Windows 作为智能卡操作系统安装到空白智能卡时,并不能获得多少益处。 大多数供应商在提供智能卡时已经在卡上安装了操作系统。 如果选择从单个供应商处获取智能卡和智能卡读取器,在需要支持时就只需要与一个供应商联系。
?USB 或 PC 卡智能卡读取器。 创建部署标准可以将安装智能卡方案的成本降至最低。 Woodgrove National Bank 实施的公司策略要求所有新的可移植计算机内置智能卡读取器。 Woodgrove National Bank 还建立提供 USB 智能卡读取器的公共标准。 银行为在家使用自己计算机的员工提供 USB 卡读取器。 Woodgrove 通过与卡读取器供应商签订为期两年的提供同一型号的卡读取器的合同以确保供应的连续性。
?信任关系。 Woodgrove National Bank 智能卡部署在独立的林之间使用当前信任关系,在那些小型开发团队林和公司主林之间使用任意单向信任关系。 此方案不需要对证书模板进行任何更改。
?Windows Server 2003 公钥基础结构 (PKI)。 Windows Server 2003 证书服务允许对默认智能卡证书模板的元素指定权限及自定义模板。 可以更灵活地指定模板权限是一个很重要的方面,因为这样 Woodgrove IT 人员就可以安全地对定义的证书发行模型授权。 Woodgrove IT 部门使用 Windows Server 2003 的 PKI 增强功能设置证书自动更新的规则。 IT 部门使用证书模板权限功能来要求 Woodgrove National Bank 安全主管手动创建所有新的智能卡证书注册。 但是,用户可以自动更新所有当前智能卡证书。
当 Woodgrove National Bank 决定实施智能卡时,已经有 Windows 2000 Server PKI。 对于初始试验,Woodgrove National Bank IT 部门决定使用当前基于 Windows 2000 的安全基础结构来创建和管理智能卡证书而不是使用第三方服务。 但是,Woodgrove 智能卡安全解决方案要求证书在一年内到期。 此要求意味着每年对数以万计的用户证书进行手动更新,这会花费高昂的支持成本。 因为管理工作量的增加,Woodgrove National Bank IT 团队决定将 PKI 升级至 Windows Server 2003。
如果 Woodgrove National Bank 使用 Windows 2000 Server PKI 进行证书自动更新,则证书自动更新选择仅限于将所有证书更新设置为自动更新或手动更新所有证书。 自动续订所有证书将会使续订选项的灵活性消失。
设计解决方案
本节概述 Woodgrove National Bank IT 部门使用智能卡帮助保护远程访问的设计选择。 本节包括解决方案概念和解决方案先决条件,并描述解决方案体系结构。
解决方案概念
解决方案使用组策略、远程访问策略、连接管理器配置文件、安装在智能卡上的 X.509 v3 用户证书和智能卡读取器的组合。 该概念可简要概述为:远程访问用户启动自定义的连接管理器配置文件,该配置文件提示用户将智能卡插入相连的智能卡读取器。 然后操作系统提示用户输入 PIN。 如果 PIN 正确,则读取器会解压缩智能卡证书和帐户信息。 然后连接管理器连接至公司远程访问服务器并提供来自智能卡的凭据。 Active Directory 对这些凭据进行身份验证,然后远程访问服务器授予用户对公司网络的访问权。
解决方案先决条件
使用智能卡保护远程访问帐户的先决条件类似用于保护管理员帐户的智能卡解决方案的先决条件。 您需要:
?咨询用户和组
?招募项目团队
?建立用户期望
?升级硬件和软件
?安全地分发和激活智能卡
咨询用户和组
在规划周期中,应评估所有当前远程访问解决方案并咨询使用这些解决方案的用户。 Woodgrove National Bank 在多个国家/地区运营,而每个国家/地区都有远程访问用户。 初始团队查看当前远程访问用户和支持团队的反馈以找出和吸引要包括试验中的潜在用户、组和支持人员。
招募项目团队
必须确保有适当的人员和技术来实施这样的项目。 项目团队可能需要来自以下代表性职位的输入信息:
?项目经理
?信息系统架构师
?系统分析员或集成员
?系统工程师
?产品发布经理
?产品测试经理
?支持或咨询台经理
?用户支持专家
?安全主管
有关代表性职位及 Microsoft Operations Framework (MOF) 中的角色关联的详细信息,请参阅 The Microsoft Solutions Framework Supplemental Whitepapers – IT Occupation Taxonomy,网址为 www.microsoft.com/downloads/details.aspx?FamilyID=839058c3-d998-4700-b958-3bedfee2c053
如果内部没有具有某些技术的人员,必须另外招募人员。 因为项目通常不需要在所有阶段需要所有人员,所以必须确定整个项目期间个人可用性。
建立用户期望
智能卡和远程访问的用户期望的主要问题在于登录时间增加了。 使用智能卡身份验证时,用户期望登录时间增加必定只有几秒。
升级硬件和软件
远程访问智能卡解决方案需要最新的 Microsoft 操作系统和 Service Pack。 此要求使得远程访问解决方案能够利用 Windows XP Professional SP2 和 Windows Server 2003 SP1 中的最新先进工具和安全工具,如 Windows 防火墙、数据执行保护 (DEP)、安全配置向导和 VPN 隔离。
该软件升级可能需要升级客户端或服务器硬件。 试验程序可确定旧设备能否运行新操作系统。 要检查设备是否适用于 Windows XP 或 Windows Server 2003,请参阅 Products Designed for Microsoft Windows – Windows Catalog and HCL 主题,网址为 www.microsoft.com/whdc/hcl/default.mspx?gssnb=1。
安全地分发和激活智能卡
对远程访问实施智能卡要求使用安全的方法来分发和激活智能卡。 通常此分发过程要求远程用户向本地管理处报告,以便注册代理可以验证他们的身份,发放智能卡并执行激活过程。 本章稍后部分的“委派发行模型”一节描述 Woodgrove National Bank 如何对远程用户分发和激活智能卡。
解决方案体系结构
Woodgrove National Bank 远程访问智能卡解决方案的实施需要下列组件:
?Active Directory
?安装在 Windows Server 2003 服务器上的 IAS
?Windows Server 2003 SP1,具有路由和远程访问权
?组策略
?运行 Windows XP Professional SP2 或更高版本的客户端计算机
?智能卡读取器
?带有至少 32 KB 内存的智能卡
?使用 CMAK 创建的连接管理器配置文件
?连接管理器配置文件的客户端脚本
Woodgrove IT 部门最初考虑提供对所有当前部署的 Windows 版本的支持。 但是,认识到连接至 Internet 的计算机的威胁,他们决定将操作系统标准化为 Windows XP Professional SP2 或更高版本。
存储在 Active Directory 中的用户帐户和组成员定期以远程方式连接并访问 Woodgrove National Bank 的公司资源。 Woodgrove IT 同时使用 GPO 来配置客户端计算机以符合公司网络安全策略。
解决方案如何运行
本节提供 Woodgrove National Bank 解决方案的技术细节。 它说明 Active Directory 如何对用户进行身份验证并跟踪身份验证路径以获取智能卡凭据。
以下过程使用智能卡启用远程访问:
1.远程用户登录至具有 Internet 访问权并连接了智能卡读取器的计算机。 用户通过双击标有 Woodgrove IT 智能卡连接管理器的连接来启动自定义的连接管理器配置文件。
2.连接管理器配置文件检查智能卡读取器中的智能卡。 将出现一个对话框,提示用户输入 PIN。 连接管理器使用 PIN 在卡上以系统服务的形式执行关键操作,这是因为它不能进行提示并在桌面上显示用户界面。 如果用户输入正确的 PIN,则卡会解锁并允许远程访问登录过程的余下部分继续进行。
3.本地安全机构 (LSA) 是受信任的操作系统组件,将执行所有身份验证。 SChannel 是实施 SSL 的代码,将在 LSA 中部分运行并启动映射序列。
4.连接管理器配置文件使用拨号或 VPN 连接启动 Woodgrove National Bank 的 IAS 服务器链接。 IAS 服务器对客户端证书执行吊销检查。 使用映射至用户主体名称 (UPN) 的证书,发放 CA 必须在 NTAUTH 库中。 还可以在 Active Directory 用户帐户上设置显式映射。
5.LSA 将用户信息提供给 IAS 服务器。 在 IAS 服务器上运行的 SChannel 代码将消息发送至驻留在域控制器上的 SChannel 代码并通过证书向其传递 UPN 信息。
6.在 IAS 服务器上运行的 SChannel 代码验证证书,然后对域控制器上的 Active Directory 执行用户查找。 域控制器生成特权访问证书 (PAC),该证书包含用户的 128 位标识符和用户的组成员资格。 将来从此处开始的通信使用 Kerberos V5 协议。
7.域控制器将随机生成的包含 Kerberos 票证授予票证 (TGT) 的会话密钥传送至客户端计算机。 此密钥的接收者将从远程访问服务器到客户端进行身份验证。 两个计算机现在已经相互进行了身份验证。
8.客户端计算机解密登录会话密钥并将 Kerberos V5 TGT 提供给票证授予服务。 在此过程完成后,所有其他 Kerberos V5 协议通信使用对称加密。
9.如果用户是通过拨号连接进行连接的,将出现用户名和密码提示。 用户输入凭据后就可以访问 Woodgrove Bank 的所有网络资源了。 通过 VPN 连接的用户不必完成此步骤。
下图说明使用智能卡进行远程访问身份验证的步骤。
图 4.1 使用智能卡进行的远程访问登录和身份验证过程
处理智能卡信息的其他处理器周期会在初始身份验证过程的基础上增加大约 20 到 25 秒的时间。 在身份验证完成后,性能不会受到影响。
其他设计考虑事项
下一节详细描述智能卡部署的其他考虑事项,包括 Woodgrove National Bank 使用的智能卡分发机制。
委派发行模型
Woodgrove National Bank IT 部门开发了委派发行模型以供智能卡使用。 此模型提供响应支持以帮助确保为全球员工分发智能卡时有最高级别的安全性。
Woodgrove National Bank IT 人员使用了委派发行模型以便在位于伦敦的 Woodgrove National Bank IT 中心总部之外的地方部署智能卡。 Woodgrove National Bank IT 部门向全球各个办事处派遣技术人员以培训委派发行主管 (DIO)。 技术人员将培训 DIO 如何分发智能卡及如何使用智能卡工具。 在初次访问后,DIO 会参加与 Woodgrove National Bank central IT 团队进行的的每周电话会议以讨论出现的问题。
下图说明构成委派发行模型以批准证书请求的步骤。
图 4.2 用于发放远程访问智能卡的智能卡授权过程
按流程图执行的步骤如下:
1.用户向 DIO 请求智能卡。
2.DIO 针对可接受形式的标识(如护照或驾照)验证用户身份,然后向部门经理核实用户身份。 在 DIO 确认用户身份后,DIO 会向伦敦的安全主管提交证书请求。
3.要验证请求,安全主管会检查先前以该用户名发放的所有证书。 安全主管还会确定用户是否还提出了任何其他智能卡请求。 如果不反对发放智能卡,安全主管将批准请求。 如果安全主管发现问题,则必须按步骤 5 中描述的那样进行审核。
4.DIO 接收批准并使用注册代理帐户发出证书。 此证书与 DIO 发放给用户个人的新智能卡相关联。 委派发行过程完成。
5.如果在验证请求时有一些需要注意的问题,安全主管将审核请求以确定是否批准该用户的请求。 审核结束后,用户必须提出新的请求。
6.委派发行过程完成。
Woodgrove National Bank 只能在 Woodgrove IT 将公司的认证中心迁移至 Windows Server 2003 之后实施委派发行模型。Windows Server 2003 PKI 允许对证书模板的各个部分应用详细的权限,这就允许在委派发行模型中应用 DIO 角色。 在发行模型中,Woodgrove 会开发用于安全地重新发放丢失或被盗的智能卡的过程。
配置 RADIUS 记帐
尽管实施远程访问智能卡解决方案不要求维护日志记录,但 Microsoft 强烈建议您这么做。 使用 IAS 的一个优点是对 RADIUS 记帐提供程序的内置支持,它将记录客户端连接请求和会话。 Woodgrove National Bank 想要监视哪些用户登录、何时登录以及连接至公司网络的时长。 RADIUS 允许 Woodgrove 分析连接趋势以检查和改进服务。
每个 IAS 服务器收集用户会话数据,这些数据存储在 Windows Server 2003 上的 Microsoft SQL Server? Desktop Engine (Windows) (WMSDE) 上或存储在 Windows 2000 Server 及之前版本上的 SQL Server 2000 Desktop Engine (MSDE 2000) 上。 IAS 以接近实时的形式将记帐信息从 WMSDE 或 MSDE 传送至 SQL Server 2000 中央数据库。 此方案可确保经济地利用 SQL Server 许可,并且不会影响服务器的性能。
Woodgrove National Bank 部署基于区域 SQL Server 的数据收集服务器以收集 IAS 远程访问会话数据。
部署试验
在部署至生产网络之前,Woodgrove National Bank IT 将在一个实验室环境和多个试验中测试任何解决方案。 Woodgrove IT 开发了两个试验以进行远程访问智能卡部署: 一个试验包括规模较小但经验丰富的用户组,而另一个试验包括分布在一些国家/地区的较为分散的用户组,这些用户具有各种远程访问经验。
包含经验丰富的用户的试验使得 Woodgrove National Bank 能够找出智能卡部署的主要问题。 经验丰富的用户能够处理不太重要的问题和意外出现的对话框。 Woodgrove IT 部门完成初次试验后,他们就会知道智能卡解决方案能够起作用,但需要一些小小的调整。
包含范围分散的用户的第二个试验使得 Woodgrove IT 部门能够体验完整部署时会出现的各类支持需求。 此试验使得咨询台能够解决技术问题,并指出在对所有远程用户部署智能卡之前可能需要进行的任何进一步开发。
确保高可用性
因为保持工作效率是远程访问解决方案的关键需求,所以解决方案必须是高度可靠的。 Woodgrove National Bank 必须考虑提供高可用性。 其中包括:
?负载平衡的远程访问服务器
?负载平衡的 IAS 服务器
?冗余网络路径
注意: 由于网络的物理布局,Woodgrove Bank 已经按地理位置定位了路由和远程访问/IAS 入口点。
确保足够的网络带宽
系统架构师必须考虑当前网络路径、预期连接时间以及预期远程访问通信的类型和流量。 应该充分估计远程访问用户需要的额外带宽。 试验部署应该有助于分析远程访问通信模式及此通信对当前网络基础结构的影响。 试验应包括非技术用户和典型使用模式以模拟完整部署时可能出现的问题,这很重要。 包含带宽控制和虚拟局域网 (VLAN) 的硬件交换机可降低远程访问通信对其他用户的影响。
Woodgrove National Bank 与多个 Internet 服务提供商合作以使 Internet 连接性能达到最佳。 如果在访问 Internet 时只是搜索网页和收发电子邮件,当前带宽在很大程度上可以满足要求。 如果远程访问连接包含其他通信,则 Woodgrove IT 必须重新评估当前的方案。
例外情况
Woodgrove National Bank 的系统架构师了解任何解决方案都必须面对业务需求需要临时豁免设备的正常安全需求的情况。 例如,在关键会议期间,行政人员的远程访问可能需要临时豁免智能卡身份验证。 如果智能卡解决方案不能为个别设备提供豁免,则 IT 部门必须禁用所有安全的远程访问需求以便仅获取一次豁免。 因此,远程访问智能卡解决方案必须支持例外情况。
注意: 只有 Woodgrove IT 安全组才能确定什么时间因为业务需求需要豁免而调整安全风险。
为处理例外情况,Woodgrove IT 人员为远程访问智能卡需求的临时豁免创建了新的安全组(称为 RemoteSmartCardUsersTempException)。 他们会按下表中的设置来配置入站远程访问服务器的远程访问策略。
表 4.1: Woodgrove National Bank 远程访问策略条件
|
要求 |
策略条件 |
身份验证类型 |
|
需要对远程访问用户组的成员进行智能卡身份验证 |
Windows 组与“WOODGROVE\RemoteSmartCardUsers”匹配 |
仅 EAP 智能卡或其他证书。 |
|
临时排除组的成员不需要智能卡身份验证 |
Windows 组与“"WOODGROVE\RemoteSmartCardUsersTempException”匹配 |
MSCHAP v2 |
这一安排将对 RemoteSmartCardUsers 组的成员实施智能卡需求,但不会对 RemoteSmartCardUsersTempException 的成员实施。 有关如何要求对远程用户执行智能卡身份验证的详细信息,请参阅 Configure smart card remote access 主题,网址为 www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/863638a6-f9e0-48d7-9db5-0b54af3cf135.mspx。
应用最佳做法
Woodgrove National Bank IT 部门建立了以下最佳做法建议列表:
?包括咨询台。 所有智能卡项目都应该包括准备充分的咨询台。 在部署之后,咨询台将充当维护角色。 如果有任何内部系统更改及影响使用的技术开发,都应该通知咨询台人员。
?提供 PIN 管理。 因为使用智能卡的主要目的在于改进网络安全性,所以智能卡存储的数据的安全性尤为重要。 在智能卡部署期间和之后忘记 PIN 都会成为问题。 应该咨询智能卡供应商有关提供 PIN 管理工具的信息,并对无法在公司重置 PIN 的用户(例如出差)实施 PIN 重置过程。
?实施防篡改措施。 智能卡需要防篡改保护,所以如果用户连续 5 次输入错误的 PIN,智能卡就会被锁定。
?保留部署后团队。 部署后团队的规模比初始部署团队要小得多,但对于定期监视系统完整性及测试并协调对智能卡基础结构的升级是非常有必要的。
监视和管理
使用智能卡保护远程访问的解决方案必须能够监视解决方案的运行状况。 此过程应该能够实时监视整个网络、单项资产或一列资产。 监视工具必须显示组织提供操作支持所需的必要信息。 如果解决方案不满足此要求,安全人员就不能确定解决方案能否有效地保持安全的远程访问连接。
标识操作考虑事项
Woodgrove IT 标识出在部署解决方案期间需要注意的以下事项:
?测试对内部应用程序的身份验证。 智能卡应该只影响初始登录。 试验程序应测试并验证对内部应用程序的身份验证是否成功。
?远程客户端问题故障排除。 要成功地排除故障,客户端问题可能需要跨越不同时区的多个团队紧密合作。 严格测试和适当的试验部署有助于降低支持需求
?了解组织远程访问方案和威胁。 必须了解公司的远程访问情况、安全威胁以及它们之间的平衡。 必须将需要最高保护的资产列入优先位,并在成本和风险之间确定适当的平衡,这是高级管理必须作出的战略决策。
?预见技术难题。 应该对技术难题有所预见,如智能卡管理工具的安装例程和分发。 可能需要将智能卡解决方案集成到现有企业管理工具中。
?监视和管理性能问题。 必须监视和管理性能问题并在部署之前设置用户期望。 例如,第一次登录的远程用户在登录时如果选择了登录到 Windows对话框上的使用拨号连接登录复选框,则可能需要花很长时间才能登录。 应该确保远程用户知道这一延迟问题。
?保持最新。 如果计划升级至最新技术,则尽早在项目实施过程中进行。 此战略提供了基准客户端和服务器平台,并且避免了在部署过程中本来可能遇到的许多变数。 而且服务稳定性会上升,用户支持成本会下降。
?分阶段实施项目。 应计划分阶段实施项目,并在各个阶段之间留出足够的时间以便用户接受及系统和过程稳定。 阶段重叠对服务有负面影响,并且会使服务问题错综复杂。
?考虑个人资产。 记住,员工的家用计算机是他们的个人财产,不受公司 IT 部门管理。 如果员工不想或不能安装硬件和软件以支持智能卡保护的远程访问,应提供其他选择。 例如,Microsoft Outlook? Web Access 允许员工安全地访问他们的 Microsoft Exchange Server 邮箱。
?管理对解决方案的更改。 必须通过类似初始部署所需的那些过程来管理解决方案的任何更改和增强功能。
?优化解决方案。 智能卡解决方案的各个方面都需要定期检查和优化。 为了改进安全性和完整性,Woodgrove IT 需要定期检查注册过程和帐户例外情况的需要。
如何扩展解决方案
智能卡为应用程序的开发提供了相当大的潜力。 例如,程序员可改造智能卡可扩展开放式平台和安全内存,以便在自助餐厅使用非现金支付系统。
尽管使用智能卡来保护远程访问可以减少来自未经授权用户的攻击,但此解决方案不能确保远程访问计算机符合网络安全策略。 网络访问隔离控制是 Windows Server 2003 SP1 的一个功能,它可以确认远程计算机是否在运行最新的防病毒更新和安全更新。 隔离控制可以执行其他检查,如检查是否启用了 Windows XP SP2 上的 Windows 防火墙。 有关隔离控制的详细信息,请参阅 Implementing Quarantine Services with Microsoft Virtual Private Network Planning Guide,网址为 http://go.microsoft.com/fwlink/?LinkId=41307。
总结
实施智能卡以对远程访问连接进行身份验证比简单的用户名和密码组合的安全性更高。 智能卡实施通过智能卡和 PIN 的组合进行的二元身份验证。 二元身份验证的安全性很高,并且对用户而言,PIN 比强密码好记得多。
对于增加网络安全性而言,为远程访问用户提供智能卡身份验证是既可靠又经济的方法。 本指南指导您完成规划和实施此解决方案所需的步骤。
| 共4页: 上一页 [1] [2] [3] 4 |