Dell Endpoint Securityn älykorttien määritysopas

Jotta älykorttitodennusta voidaan hyödyntää käynnistystä edeltävässä Dell Endpoint Security -ympäristössä, Active Directory on määritettävä sallimaan varmenteiden rekisteröinti ja luonti.

Rekisteröintiagentin varmenne on määritettävä kaikille käyttäjille, jotka yrittävät määrittää varmenteita muiden käyttäjien älykorteille.

Voit määrittää malleja ottamalla käyttöön varmennemallin rekisteröintiagentille ja lisäämällä sitten uuden älykorttien käyttäjämallin.

Voit ottaa varmennemallin käyttöön rekisteröintiagentille seuraavasti:

1. Avaa varmenteen myöntäjä Microsoft Management Console (MMC).
   
2. Laajenna kohtaan Certificate Templates.
3. Napsauta oikeanpuoleista ruutua hiiren kakkospainikkeella ja valitse sitten Hallinta.
   
4. Napsauta hiiren kakkospainikkeella Rekisteröintiagentti ja valitse sitten Monista malli.
   
5. Siirry Yleiset-välilehteen.
6. Valitse vaihtoehto Julkaise varmenne Active Directoryssa.
7. Voit halutessasi päivittää mallin näyttönimen ja mallin nimen.
   

Älykortin käyttäjämallin lisääminen:

1. Napsauta varmenteen myöntäjän Certificate Template Consolessa hiiren kakkospainikkeella Smartcard User -mallia ja valitse sitten Duplicate Template.
   
2. Muokkaa Request Handling -välilehdessä Purpose -asetukseksi Signature ja älykorttiin kirjautuminen.
   
3. Hyväksy tuloksena oleva kehote.
   
4. Varmista, että Salli yksityisen avaimen vienti on valittuna.
   
5. Aiheen nimi -välilehdessä on oletusarvoisesti vaihtoehtoja, jotka edellyttävät määritettyä sähköpostiosoitetta vaihtoehtoisena vahvistusmenetelmänä. Jotkin ympäristöt saattavat haluta poistaa nämä asetukset välttääkseen ongelmat sellaisten käyttäjien kanssa, joilla ei ehkä ole Active Directory -määritettyjä sähköpostiosoitteita.
   1. Poista valinta kohdasta Sisällytä sähköpostiosoite aiheen nimeen.
      
   2. Poista sähköpostiosoiteSisällytä nämä tiedot vaihtoehtoiseen aihenimeen -osiosta.
      
6. Valitse Myöntämisvaatimukset-välilehdessäTämä valtuutettujen allekirjoitusten määrä -ruutu.
   1. Jätä Tämä valtuutettujen allekirjoitusten määräksi on määritetty 1.
   2. Jätä allekirjoitukseen vaadittavaksi käytäntötyypiksiSovelluskäytäntö.
   3. Muokkaa sovelluskäytäntöävarmenteen pyyntöagentiksi.
      
7. Julkaise malli valitsemalla OK .
8. Salli molempien mallien myöntäminen napsauttamalla varmenteen myöntäjän MMC:ssä hiiren kakkospainikkeella Certificate Templates -kohtaa ja valitsemalla sitten Certificate Template to Issue.
   
9. Valitse luomasi kaksi uutta varmennemallia .
   
10. Valitse OK.

Tässä osassa kuvataan Dell Security Management Serverin muutokset, jotka älykorttien toiminta käynnistystä edeltävässä todennusympäristössä edellyttää.

Järjestelmänvalvojan on tuotava päämyöntäjän varmenne ja muokattava käytäntöä. Katso lisätietoja valitsemalla asianmukainen prosessi.

Varmenteiden päämyöntäjän tuominen

Koska älykorttivarmenteet allekirjoittaa tässä oppaassa sisäinen varmenteiden myöntäjä (CA), meidän on varmistettava, että päämyöntäjä ja välittäjät (joita ei ole esitetty tässä oppaassa) tuodaan varmenneketjuun.

1. Vie varmenteen myöntäjän päävarmenne MMC:n (Microsoft Management Console) varmenteesta.
   1. Käynnistä MMC.
   2. Valitse Tiedosto.
   3. Valitse Lisää tai poista laajennus.
   4. Valitse Varmenteet.
   5. Valitse Add.
   6. Valitse Tietokone-tilin säteittäinen.
   7. Valitse Finish.
   8. Valitse OK.
      
   9. Laajenna Varmenteet.
   10. Laajenna luotetut päävarmenteiden myöntäjät.
   11. Valitse Varmenteet.
   12. Napsauta hiiren kakkospainikkeella verkkotunnuksesi varmenteen myöntäjän myöntämää varmennetta. Nämä synkronoidaan ryhmäkäytännön kanssa.
       
   13. Valitse Kaikki tehtävät ja valitse sitten Vie.
   14. Vie varmenne nimellä DER encoded binary X.509 (.CER).
   15. Tallenna se ja tallenna sitten sijainti, kun sitä käytetään pian.
2. Tuo tämä varmenne Java-avainsäilön luotettuihin varmenteisiin.
   1. Avaa komentokehote järjestelmänvalvojana.
   2. Muokkaa polkua salliaksesi avaintyökalukomentojen suorittamisen kirjoittamalla Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" ja kirjoita sitten Enter.
      Huomautus: Jos käytössäsi on Dell Security Management Server 9.2 tai sitä vanhempi versio, kirjoita Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" ja paina sitten Enter-näppäintä.
   3. Siirry suojauspalvelimen conf-hakemistoon kirjoittamalla %INSTALLDIR%\Enterprise Edition\Security Server\conf\ ja paina sitten Enter-näppäintä.
      
   4. Tuo vaiheessa 1 viety .cer tiedosto Java-avainsäilöön (cacerts) kirjoittamalla Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts ja paina sitten Enter-näppäintä.
      
   5. Anna cacerts-tiedoston salasana.
   6. Hyväksy kehote luottaa varmenteeseen kirjoittamalla Y.
      
   7. Viimeistele tuonti käynnistämällä suojauspalvelin uudelleen.

Muokkaa käytäntöä

Katso asianmukaiset käytäntömääritykset napsauttamalla Dell Data Security -palvelimen versiota. Katso versiotiedot artikkelista Dell Data Security- tai Dell Data Protection Server -version tunnistaminen (englanninkielinen).

9.8.0 ja uudemmat

Voit muuttaa älykortteja PBA-todennusmekanismissa sallivaa käytäntöä seuraavasti:

1. Avaa Dell Data Security -hallintakonsoli.
   Huomautus: Lisätietoja on artikkelissa Dell Data Security- / Dell Data Protection Server -hallintakonsolin avaaminen.
2. Kirjaudu sisään käyttäjänä, joka voi muokata käytäntöä ja vahvistaa sen.
3. Siirry väestöön, jossa haluat tehdä käytännön muutoksen. Valitse esimerkiksi Populaatiot ja sitten Yritys.
4. Valitse Security Policies -välilehti.
   
5. Valitse Pre-Boot Authentication.
6. Vaihda SED-todennusmenetelmä salasanasta älykorttiin.
   Huomautus: Varmista, että käytössä on itsesalaavien asemien käytäntö, jotta tämä on mahdollista koko yrityksessä.
   
   
7. Tallennus- ja toimituskäytännöt .
   Huomautus: Lisätietoja on artikkelissa Dell Data Security- / Dell Data Protection -palvelinten käytäntöjen vahvistaminen.

9.2.0–9.7.0

Voit muuttaa älykortteja PBA-todennusmekanismissa sallivaa käytäntöä seuraavasti:

1. Avaa Dell Data Protection -hallintakonsoli.
   Huomautus: Lisätietoja on artikkelissa Dell Data Security- / Dell Data Protection Server -hallintakonsolin avaaminen.
2. Kirjaudu sisään käyttäjänä, joka voi muokata käytäntöä ja vahvistaa sen.
3. Siirry väestöön, jossa haluat tehdä käytännön muutoksen. Valitse esimerkiksi Populaatiot ja sitten Yritys.
4. Valitse Security Policies -välilehti.
   
5. Valitse Self-Encrypting Drive (SED).
6. Vaihda SED-todennusmenetelmä salasanasta älykorttiin.
   Huomautus: Varmista, että käytössä on itsesalaavien asemien käytäntö, jotta tämä on mahdollista koko yrityksessä.
   
   
7. Tallennus- ja toimituskäytännöt .
   Huomautus: Lisätietoja on artikkelissa Dell Data Security- / Dell Data Protection -palvelinten käytäntöjen vahvistaminen.

8.0.0–9.1.5

Voit muuttaa älykortteja PBA-todennusmekanismissa sallivaa käytäntöä seuraavasti:

1. Muokkaa käytäntöä sallimaan älykortit PBA:n todennusmekanismina.
   1. Avaa etähallintakonsoli.
      Huomautus: Lisätietoja on artikkelissa Dell Data Security- / Dell Data Protection Server -hallintakonsolin avaaminen.
   2. Kirjaudu sisään käyttäjänä, joka voi muokata käytäntöä ja vahvistaa sen.
   3. Siirry kohtaan Enterprise.
   4. Valitse yläreunasta Security Policies .
   5. Ohitus (ei saatavilla Virtual Editionissa).
   6. Valitse avattavasta Policy Category -valikosta Self-Encrypting Drives.
      
   7. Laajenna SED Administration.
   8. Vaihda SED-todennusmenetelmä salasanasta älykorttiin.
      
      Huomautus: Varmista, että Enable SED Management ja Activate PBA -asetusten arvo on True , jotta tämä koskee koko yritystä.
   9. Tallenna tämä käytäntö.
   10. Valitse vasemmalta Commit Policies .
   11. Valitse Apply Changes.

Älykortit ovat oletusarvoisesti tyhjiä. Jokaiselle älykortille on määritettävä varmenne, jotta varmenne voidaan lisätä todennusta varten. Varmenteet määritetään yleensä älykorteille väliohjelmistosovelluksen kautta. Alla olevissa esimerkeissä hahmotellaan tuonti vanhan Charismathics-ohjelmiston kautta yritysluokan älykorteille ja VersaSec henkilöllisyyden todentamiseen (PIV) perustuville älykorteille. Järjestelmänvalvojan on otettava käyttöön kertakirjautuminen Windowsiin älykorttien avulla varmenteen määrittämisen jälkeen. Valitse sopiva prosessi saadaksesi lisätietoja.

Karismaattisuus

Älykorttien hyödyntämiseksi meillä on oltava rekisteröintiagentti, joka voi määrittää laitteelle varmenteita, ja väliohjelmisto, joka muuntaa Microsoftin varmenteiden myöntäjältä tulevat varmennetiedot sellaisiksi, joita kortti voi käyttää.

Useimmissa älykorteissa ei ole valmiiksi asetettuja suojaustunnuksia. Järjestelmänvalvojan on lisättävä suojaustunnus uudelle älykortille, lisättävä varmenne rekisteröintiagentille ja rekisteröitävä sitten käyttäjät ja push-varmenteet. Katso lisätietoja valitsemalla asianmukainen prosessi.

Suojaustunnuksen lisääminen uuteen älykorttiin

1. Avaa salauspalveluntarjoaja (CSP).
2. Kun asetamme kortin ilman aktiivista tunnusta, saamme perustiedot.
   
3. Kun suojaustunnus on luotu, on varmistettava, että se on määritetty PKCS15-profiilille.
   
4. Kun tämä on luotu, meillä on paljon enemmän vaihtoehtoja, ja voimme tuoda varmenteen oikein.
   

Varmenteen lisääminen rekisteröintiagentille

1. Avaa MMC (Microsoft Management Console).
2. Valitse Tiedosto.
3. Valitse Lisää tai poista laajennuksia.
4. Valitse Varmenteet.
5. Valitse Add.
6. Valitse säteittäinen kohtaan Oma käyttäjätili.
7. Valitse Finish.
8. Valitse OK.
9. Laajenna Varmenteet - Nykyinen käyttäjä.
10. Laajenna Henkilökohtainen.
11. Laajenna Varmenteet , jos sellainen on.
12. Napsauta keskimmäistä ruutua hiiren kakkospainikkeella, valitse Kaikki tehtävät ja pyydä uutta varmennetta.
    
13. Valitse Next.
14. Jätä Active Directory -rekisteröintikäytäntö valituksi.
15. Valitse Next.
16. Valitse aiemmin luotu ja julkaistu rekisteröintiagentin varmenne.
    
17. Klikkaa Rekisteröidy.
18. Napsauta Valmis , kun se on valmis.

Rekisteröi käyttäjät ja lähetä varmenteita

Nyt voimme rekisteröidä käyttäjiä luomaamme älykorttiin ja lähettää varmenteita kortille MMC-varmenteen avulla.

Käyttäjien ja push-varmenteiden rekisteröiminen:

1. Avaa MMC (Microsoft Management Console).
2. Valitse Tiedosto.
3. Valitse Lisää tai poista laajennuksia.
4. Valitse Varmenteet.
5. Valitse Add.
6. Valitse säteittäinen kohtaan Oma käyttäjätili.
7. Valitse Finish.
8. Valitse OK.
9. Laajenna Varmenteet - Nykyinen käyttäjä.
10. Laajenna Henkilökohtainen.
11. Laajenna Varmenteet , jos sellainen on.
12. Napsauta hiiren kakkospainikkeella keskimmäistä ruutua, valitse Kaikki tehtävät, Lisätoiminnot ja sitten Rekisteröidy puolesta.
    
13. Valitse Next.
14. Jätä Active Directory -rekisteröintikäytäntö valituksi.
15. Valitse Next.
16. Valitse Browse.
17. Valitse aiemmin luotu rekisteröintiagentin varmenne ja valitse sitten OK.
    
18. Valitse Next.
19. Valitse aiemmin luodun älykortin käyttäjämallin säteittäinen kuva.
    
20. Valitse avattava Tiedot-valikko ja valitse sitten Ominaisuudet.
    
21. Muokkaa salauspalveluntarjoaja sovellukseksi, jota hyödynnät. Tässä tapauksessa se on karismatiikka.
    
22. Valitse OK.
23. Napsauta Seuraava.
24. Valitse Selaa ja muokkaa sitten toimialueeltasi noudettavia sijainteja .
    
    
    
25. Rekisteröitävän käyttäjän käyttäjänimi.
26. Vahvista käyttäjä valitsemalla Tarkista nimet .
    
27. Valitse OK.
28. Klikkaa Rekisteröidy.
29. Seuraa ohjeita.
    
    
    
    
    
30. Voit joko rekisteröidä lisää käyttäjiä samalla tavalla valitsemalla Seuraava käyttäjä tai jatkaa valitsemalla Sulje .

Älykortteja voidaan nyt hyödyntää PBA-todennuksessa.

VersaSec

VersaSec käyttää aiemmin luotuja varmenteita uusien varmenteiden rekisteröintiin. Tämä prosessi käyttää Active Directoryn kautta luotuja varmennemalleja, joiden avulla työntekijä voi luoda kirjautumisvarmenteita muille työntekijöille käytettäväksi kirjautumisistunnon aikana. Järjestelmänvalvojan on suoritettava varmenteen rekisteröinti, varmenteen vienti ja määritettävä sitten varmenneälykortille. Katso lisätietoja valitsemalla asianmukainen prosessi.

Varmenteen rekisteröinti

Varmenteen rekisteröiminen:

1. Avaa MMC (Microsoft Management Console) järjestelmänvalvojana ja määritä varmenteita laitteeseen, joka on liitetty toimialueeseen, johon varmennemallit on määritetty.
   
2. Valitse Lisää tai poista laajennus.
   
3. Valitse Varmenteet ja valitse sitten Lisää.
   
4. Varmista, että Oma käyttäjätili -vaihtoehto on valittuna.
   
5. Lataa valitut laajennukset valitsemalla OK .
   
6. Laajenna Varmenteet - nykyinen käyttäjä -ruutu, napsauta oikeanpuoleista ruutua hiiren kakkospainikkeella ja valitse sitten Kaikki tehtävät ja sitten Pyydä uutta varmennetta.
   
7. Varmista, että Active Directory -rekisteröintikäytäntö on valittu, ja valitse sitten Seuraava.
   
8. Valitse varmennemalli, joka sallii rekisteröintiagentin luomisen nykyiselle käyttäjälle, ja valitse sitten Rekisteröidy. Tässä esimerkissä käytetään aiemmin luotua rekisteröintiagentin rekisteröintimallia .
   
9. Kun rekisteröinti on valmis, valitse Valmis.
   
10. Luo Enrollment Agent -varmenteella älykortin käyttäjävarmenne, joka perustuu ennalta luotuun malliin, valitsemalla vasemmasta ruudusta Varmenteet-kansio . Valitse Kaikki tehtävät, Lisätoiminnot ja Rekisteröidy puolesta.
    
11. Varmista, että Active Directory -rekisteröintikäytäntö on valittu, ja valitse sitten Seuraava.
    
12. Valitse Selaa , kun rekisteröintiagentin varmennetta pyydetään.
    
13. Varmista, että asianmukainen varmenne on valittuna, ja valitse sitten OK.
    
14. Varmista, että asianmukainen käyttäjä on määritetty, ja valitse sitten Seuraava.
    
15. Valitse malli, joka on luotu valmiiksi älykorttien käyttäjärekisteröintiä varten, ja valitse sitten Seuraava. Tämä esimerkki hyödyntää mallia, jonka nimi on Älykorttien käyttäjän rekisteröinti.
    
16. Valitse Selaa löytääksesi sopivan käyttäjän.
    
17. Muokkaa sijaintia niin, että se etsii koko hakemistosta, valitsemalla Sijainti.
    
18. Valitse asianmukainen toimialue tai organisaatioyksikkö ja valitse sitten OK.
    
19. Anna käyttäjä, jolle haluat luoda älykorttivarmenteen, ja vahvista täydellinen käyttäjätunnus valitsemalla Tarkista nimet .
    
20. Vahvista oikea käyttäjä, jos käyttäjiä löytyy useita, ja valitse sitten OK.
    
21. Vahvista käyttäjätiedot ja valitse OK.
    
22. Vahvista käyttäjätiedot uudelleen ja valitse sitten Rekisteröidy.
    
23. Ilmoittautuminen valmistuu nopeasti. Luo toinen varmenne valitsemalla Seuraava käyttäjä tai viimeistele varmenteen luontiprosessi valitsemalla Sulje . Lisää varmenteita voidaan luoda uusille käyttäjille milloin tahansa tulevaisuudessa.
    

Varmenteen vienti

Varmenteet viedään ensin PKCS12-muodossa, jotta ne voidaan liittää älykortteihin. Varmenteiden tulee sisältää yksityinen avain ja koko varmenneketju.

Varmenteen vieminen:

1. Avaa MMC (Microsoft Management Console) järjestelmänvalvojana, joka määrittää varmenteita laitteeseen, joka on liitetty toimialueeseen, johon varmennemallit on määritetty.
   
2. Valitse Lisää tai poista laajennus.
   
3. Valitse Varmenteet ja valitse sitten Lisää.
   
4. Varmista, että Oma käyttäjätili -vaihtoehto on valittuna.
   
5. Lataa valitut laajennukset valitsemalla OK .
   
6. Laajenna Varmenteet - Nykyinen käyttäjä -ruutu ja napsauta sitten vietävää käyttäjää hiiren kakkospainikkeella. Valitse Kaikki tehtävät ja valitse sitten Vie.
   
7. Valitse vaihtoehto Kyllä, vie yksityinen avain ja valitse sitten Seuraava.
   
8. Poista Ota varmenteen tietosuoja käyttöön -asetuksen valinta, valitse Vie kaikki laajennetut ominaisuudet ja valitse sitten Seuraava.
   
9. Valitse Password-vaihtoehto, määritä varmenteelle turvallinen salasana ja valitse sitten Next.
   
   Huomautus: Älä muuta salausasetusta.
10. Määritä tiedostonimi ja sijainti ja valitse sitten Seuraava.
    
11. Vahvista tiedot ja viimeistele vienti valitsemalla Valmis .
    

Varmenteen määrittäminen älykortille

Asenna ja lataa VersaSec-ohjelmisto ja kaikki hallinnolliset väliohjelmistot, joita valmistettavat älykortit saattavat tarvita.

Varmenteen määrittäminen älykortille:

1. Käynnistä VersaSec-agentti ja aseta älykortti.
2. Siirry kohtaan Korttitoiminnot - Varmenteet ja avaimet ja valitse sitten Tuo.
   
3. Etsi ja valitse viety varmenne, joka sidotaan älykorttiin. Kirjoita varmenteen salasana Salasana-kenttään ja valitse sitten Tuo.
   
4. Anna käyttäjän PIN-koodi, kun sinua pyydetään antamaan pääsykoodi, ja valitse sitten OK.
   
5. Kun varmenteen kirjoittaminen on valmis, se näkyy luettelossa.
   
6. Kun kaikkien tilien kaikki varmenteet on kirjoitettu älykortille, sillä voi kirjautua Windowsiin tai käynnistystä edeltävään todennusympäristöön.

Ota käyttöön kertakirjautuminen Windowsiin älykorttien avulla

Kertakirjautumisen ottaminen käyttöön Windowsissa älykorttien avulla vaihtelee käytössä olevan Dell Encryption Enterprise -version mukaan. Katso lisätietoja valitsemalla asianmukainen versio. Katso versiotiedot artikkelista Dell Encryption Enterprise- tai Dell Encryption Personal -version tunnistaminen.

Dell Encryption Enterprise, versio 8.18 ja uudemmat

Päätepisteen muutoksia ei tarvitse muuttaa. Kun käytäntö on määritetty hallintakonsolissa, kaikki päätepisteiden muutokset tapahtuvat automaattisesti.

Älykortit itse saattavat vaatia väliohjelmiston. Tarkista älykorttisi valmistajalta, onko jokaiseen päätepisteeseen asennettava väliohjelmistoratkaisu, jotta Windows-todennus on mahdollista.

Dell Encryption Enterprise, 8.17.2 ja aiemmat versiot

Asiakaskoneet eivät oletusarvoisesti kertakirjautua. Tämä edellyttää rekisteriavaimen lisäämistä.

Rekisteriavain on:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On  

1. Avaa rekisterieditori
2. Laajenna HKEY Local Machine.
3. Laajenna Ohjelmisto.
4. Laajenna DigitalPersona.
5. Laajenna Käytännöt.
6. Laajenna Oletus.
7. Luo avain ja nimeä se Smartcards.
   
8. Luo DWORD ja nimeä se sitten MSSmartcardSupport.
   
9. Määritä Arvon data -arvoksi 1.