Посібник із налаштування смарт-карти Dell Endpoint Security

Щоб використовувати автентифікацію смарт-картки в середовищі перед завантаженням Dell Endpoint Security, ми повинні налаштувати Active Directory таким чином, щоб дозволити реєстрацію та генерацію сертифікатів.

Сертифікат агента із реєстрації потрібно призначати всім користувачам, які намагаються призначити сертифікати смарт-карткам для інших користувачів.

Щоб настроїти та настроїти шаблони, увімкніть шаблон сертифіката для агента реєстрації, а потім додайте новий шаблон користувача смарт-картки.

Щоб увімкнути шаблон сертифіката для агента із зарахування:

1. Відкрийте центр сертифікації Microsoft Management Console (MMC).
   
2. Розгорніть розділ Шаблони сертифікатів.
3. Клацніть праву область правою кнопкою миші та виберіть пункт Керування.
   
4. Клацніть правою кнопкою миші пункт Агент із реєстрації та виберіть пункт Дублювати шаблон.
   
5. Перейдіть на вкладку Загальні .
6. Виберіть опцію Опублікувати сертифікат в Active Directory.
7. За бажанням можна оновити відображуване ім'я шаблону та ім'я шаблону.
   

Щоб додати шаблон смарт-картки користувача, виконайте такі дії:

1. У консолі шаблонів сертифікатів центру сертифікації клацніть правою кнопкою миші шаблон користувача смарт-картки та виберіть пункт Дублювати шаблон.
   
2. На вкладці Обробка запитів змініть Призначення для підпису та входу в смарт-картку.
   
3. Прийміть отриманий запит.
   
4. Переконайтеся, що встановлено прапорець Дозволити експорт приватного ключа .
   
5. На вкладці «Ім'я теми » за замовчуванням присутні параметри, які вимагають використання визначеної адреси електронної пошти як альтернативного методу перевірки. Деякі середовища можуть захотіти очистити ці параметри, щоб уникнути проблем із користувачами, які можуть не мати адрес електронної пошти, визначених Active Directory.
   1. Зніміть прапорець Включати ім'я електронної пошти в ім'я теми.
      
   2. Очистіть ім'я електронної пошти в розділі Включити цю інформацію в альтернативну назву теми .
      
6. На вкладці Вимоги до видачі виберіть поле Ця кількість авторизованих підписів.
   1. Залишити Для цієї кількості авторизованих підписів встановлено значення 1.
   2. Тип політики , який вимагається в підписі, залиште як Політика програми.
   3. Змініть політику програми на Агент запиту сертифікатів.
      
7. Натисніть OK , щоб опублікувати цей шаблон.
8. Дозвольте видачу обох шаблонів, клацнувши правою кнопкою миші пункт «Шаблони сертифікатів » у MMC центру сертифікації та вибравши пункт «Шаблон сертифіката для видачі».
   
9. Виберіть два нові шаблони сертифікатів , які ви створили.
   
10. Натисніть кнопку «OK».

У цьому розділі описано зміни, необхідні для сервера керування безпекою Dell, щоб забезпечити функціональність смарт-карток у середовищі автентифікації перед завантаженням.

Адміністратор повинен імпортувати кореневий ЦС і змінити політику. Натисніть відповідну процедуру, щоб отримати додаткову інформацію.

Імпортуйте кореневий ЦС

Оскільки сертифікати смарт-карток підписуються внутрішнім центром сертифікації (CA) у цьому посібнику, ми повинні переконатися, що кореневий центр сертифікації та будь-які посередники (не показані в цьому посібнику) імпортуються в ланцюжок сертифікатів.

1. Експортуйте кореневий сертифікат центру сертифікації із сертифіката Microsoft Management Console (MMC).
   1. Запустіть MMC.
   2. Натисніть Файл.
   3. Натисніть «Додати/видалити оснастку».
   4. Виберіть Сертифікати.
   5. Натисніть Додати.
   6. Виберіть радіальний обліковий запис комп'ютера .
   7. Натисніть Готово.
   8. Натисніть кнопку «OK».
      
   9. Розгорніть сертифікати.
   10. Розширте довірені центри сертифікації root.
   11. Виберіть Сертифікати.
   12. Клацніть правою кнопкою миші сертифікат, виданий центром сертифікації вашого домену. Вони синхронізуються з груповою політикою.
       
   13. Виберіть «Усі завдання», а потім натисніть «Експорт».
   14. Експортуйте сертифікат як DER encoded binary X.509 (.CER).
   15. Збережіть його, а потім запишіть розташування в тому вигляді, в якому воно використовується найближчим часом.
2. Імпортуйте цей сертифікат до довірених сертифікатів сховища ключів Java.
   1. Відкрийте адміністративний командний рядок.
   2. Змініть шлях, щоб дозволити виконання команд keytool за допомогою введення тексту Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" і введіть Enter.
      Примітка: Для Dell Security Management Server версії 9.2 або раніших введіть Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" і натисніть клавішу Enter.
   3. Перейдіть до каталогу conf сервера безпеки, ввівши команду %INSTALLDIR%\Enterprise Edition\Security Server\conf\ і натисніть клавішу Enter.
      
   4. Імпортуйте файл .cer, який ми експортували на кроці 1, у сховище ключів Java (cacerts), ввівши команду Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts і натисніть клавішу Enter.
      
   5. Введіть пароль файлу cacerts.
   6. Прийміть запит на довіру до сертифіката, ввівши текст Y.
      
   7. Перезапустіть сервер безпеки, щоб завершити імпорт.

Змінити політику

Виберіть версію сервера Dell Data Security, щоб переглянути відповідні конфігурації політик. Щоб отримати інформацію про керування версіями, зверніться до розділу Як визначити версію сервера захисту даних Dell / Dell.

v9.8.0 і пізніші версії

Щоб змінити політику та дозволити смарт-карткам використовувати механізм автентифікації PBA, виконайте такі дії:

1. Відкрийте консоль адміністрування безпеки даних Dell.
   Примітка: Для отримання додаткової інформації зверніться до статті Як отримати доступ до консолі адміністрування сервера Dell Data Security / Dell Data Protection.
2. Увійдіть як користувач, який може змінювати та фіксувати політику.
3. Зверніться до населення, де ви хочете змінити політику. Наприклад, виберіть «Населення», а потім натисніть «Підприємство».
4. Виберіть вкладку Політики безпеки .
   
5. Виберіть Автентифікація перед завантаженням.
6. Змініть метод автентифікації SED з «Пароль» на «Смарт-картка».
   Примітка: Переконайтеся, що політику диска з самошифруванням увімкнено , щоб увімкнути цю функцію для всього підприємства.
   
   
7. Зберігайте та фіксуйте політики.
   Примітка: Для отримання додаткової інформації зверніться до статті Як зафіксувати політики для Dell Data Security / Dell Data Protection Servers.

від 9.2.0 до 9.7.0

Щоб змінити політику та дозволити смарт-карткам використовувати механізм автентифікації PBA, виконайте такі дії:

1. Відкрийте консоль адміністрування захисту даних Dell.
   Примітка: Для отримання додаткової інформації зверніться до статті Як отримати доступ до консолі адміністрування сервера Dell Data Security / Dell Data Protection.
2. Увійдіть як користувач, який може змінювати та фіксувати політику.
3. Зверніться до населення, де ви хочете змінити політику. Наприклад, виберіть «Населення», а потім натисніть «Підприємство».
4. Виберіть вкладку Політики безпеки .
   
5. Виберіть Самошифрувальний диск (SED).
6. Змініть метод автентифікації SED з «Пароль» на «Смарт-картка».
   Примітка: Переконайтеся, що політику диска з самошифруванням увімкнено , щоб увімкнути цю функцію для всього підприємства.
   
   
7. Зберігайте та фіксуйте політики.
   Примітка: Для отримання додаткової інформації зверніться до статті Як зафіксувати політики для Dell Data Security / Dell Data Protection Servers.

від 8.0.0 до 9.1.5

Щоб змінити політику та дозволити смарт-карткам використовувати механізм автентифікації PBA, виконайте такі дії:

1. Змініть політику, щоб дозволити смарт-картки як механізм автентифікації для PBA.
   1. Відкрийте консоль віддаленого керування.
      Примітка: Для отримання додаткової інформації зверніться до статті Як отримати доступ до консолі адміністрування сервера Dell Data Security / Dell Data Protection.
   2. Увійдіть як користувач, який може змінювати та фіксувати політику.
   3. Перейдіть до розділу Enterprise.
   4. Натисніть «Політики безпеки » вгорі.
   5. Override (недоступно у віртуальному виданні).
   6. Змініть розкривний список Категорія політики на Самозашифровані диски.
      
   7. Розширити сферу адміністрування СЕД.
   8. Змініть метод автентифікації SED з «Пароль» на «Смарт-картка».
      
      Примітка: Переконайтеся, що для параметрів Enable SED Management та Activate PBA встановлено значення True , щоб увімкнути це для всього підприємства.
   9. Збережіть цю політику.
   10. Натисніть Commit Policies (Політики коміту ) зліва.
   11. Натисніть «Застосувати зміни».

Смарт-картки за замовчуванням порожні. Кожна смарт-картка повинна мати призначений їй сертифікат для додавання сертифіката для автентифікації. Сертифікати зазвичай призначаються смарт-карткам за допомогою програми проміжного програмного забезпечення. У наведених нижче прикладах описано імпорт за допомогою застарілого програмного забезпечення Charismathics для смарт-карток корпоративного класу та VersaSec для смарт-карток на основі підтвердження особи (PIV). Після призначення сертифіката адміністратор повинен увімкнути єдиний вхід до Windows за допомогою смарт-карток . Виберіть відповідний процес для отримання додаткової інформації.

Харизматика

Щоб використовувати смарт-картки, нам потрібен агент із реєстрації, який може призначати сертифікати пристрою, і проміжне програмне забезпечення, яке перетворює відомості про сертифікати, що надходять із центру сертифікації Microsoft, на щось, що може використовувати картка.

Більшість смарт-карток не мають попередньо встановлених токенів безпеки. Адміністратор повинен розмістити маркер безпеки на новій смарт-картці, додати сертифікат для агента реєстрації, а потім зареєструвати користувачів і сертифікати віддалених записів. Натисніть відповідну процедуру, щоб отримати додаткову інформацію.

Розміщення токена безпеки на новій смарт-картці

1. Відкрийте пункт Постачальник криптографічних послуг (CSP).
2. Коли ми вставляємо картку без активного токена, ми отримуємо основну інформацію.
   
3. Після того, як ми створимо токен безпеки, ми повинні переконатися, що він встановлений для профілю PKCS15.
   
4. Після того, як це буде створено, у нас буде набагато більше можливостей, і ми зможемо належним чином імпортувати сертифікат.
   

Додавання сертифіката для агента із зарахування

1. Відкрийте консоль керування Microsoft (MMC).
2. Натисніть Файл.
3. Натисніть Додати/видалити оснастки.
4. Виберіть Сертифікати.
5. Натисніть Додати.
6. Виберіть радіал для Мій обліковий запис користувача.
7. Натисніть Готово.
8. Натисніть кнопку «OK».
9. Розгорнути Сертифікати - Поточний Користувач.
10. Розгорнути особисте.
11. Розгорніть розділ Сертифікати , якщо він існує.
12. Клацніть правою кнопкою миші в центральній області та виберіть «Усі завдання», а потім «Запросити новий сертифікат».
    
13. Натисніть Далі.
14. Залиште політику реєстрації Active Directory вибраною.
15. Натисніть Далі.
16. Виберіть Сертифікат агента із зарахування, який ми створили та опублікували раніше.
    
17. Натисніть Зареєструватися.
18. Натисніть «Готово» після його завершення.

Реєстрація користувачів і Push-сертифікати

Тепер ми можемо реєструвати користувачів в згенеровану нами смарт-карту і відправляти сертифікати на карту за допомогою сертифіката MMC.

Щоб зареєструвати користувачів і надіслати push-сертифікати:

1. Відкрийте консоль керування Microsoft (MMC).
2. Натисніть Файл.
3. Натисніть Додати/видалити оснастки.
4. Виберіть Сертифікати.
5. Натисніть Додати.
6. Виберіть радіал для Мій обліковий запис користувача.
7. Натисніть Готово.
8. Натисніть кнопку «OK».
9. Розгорнути Сертифікати - Поточний Користувач.
10. Розгорнути особисте.
11. Розгорніть розділ Сертифікати , якщо він існує.
12. Клацніть правою кнопкою миші в центральній області та виберіть «Усі завдання», «Додаткові операції», а потім «Зареєструватися від імені».
    
13. Натисніть Далі.
14. Залиште політику реєстрації Active Directory вибраною.
15. Натисніть Далі.
16. Натисніть Огляд.
17. Виберіть сертифікат агента реєстрації, який ми створили раніше, і натисніть кнопку ОК.
    
18. Натисніть Далі.
19. Виберіть радіал для шаблону користувача смарт-картки, який ми згенерували раніше.
    
20. Виберіть розкривне меню Подробиці та натисніть Властивості.
    
21. Змініть постачальника криптографічних послуг відповідно до програми, яку ви використовуєте. В даному випадку це харизматика.
    
22. Натисніть кнопку «OK».
23. Натисніть Далі.
24. Натисніть « Огляд », а потім змініть розташування для отримання з вашого домену.
    
    
    
25. Введіть ім'я користувача користувача, якого потрібно зареєструвати.
26. Натисніть «Перевірити імена », щоб перевірити користувача.
    
27. Натисніть кнопку «OK».
28. Натисніть Зареєструватися.
29. Дотримуйтесь підказок.
    
    
    
    
    
30. Клацніть «Наступний користувач», щоб зареєструвати інших користувачів за допомогою того самого методу, або натисніть «Закрити », щоб продовжити.

Тепер смарт-картки можна використовувати для автентифікації PBA.

Технологія VersaSec

VersaSec використовує раніше створені сертифікати для реєстрації нових сертифікатів. Цей процес використовує шаблони сертифікатів, які створюються за допомогою Active Directory, щоб працівник міг генерувати сертифікати входу для використання іншими співробітниками під час сеансу входу. Адміністратор має завершити реєстрацію сертифіката, експорт сертифіката, а потім призначити сертифікатсмарт-картці. Натисніть відповідну процедуру, щоб отримати додаткову інформацію.

Зарахування сертифіката

Щоб зарахувати сертифікат:

1. Відкрийте консоль керування Microsoft (MMC) від імені адміністратора, який призначає сертифікати на пристрої, підключеному до домену, де настроєно шаблони сертифікатів.
   
2. Виберіть опцію Додати/видалити оснастку.
   
3. Виберіть Сертифікати, а потім натисніть Додати.
   
4. Переконайтеся, що вибрано параметр для Мій обліковий запис користувача .
   
5. Натисніть OK , щоб завантажити вибрані оснастки.
   
6. Розгорніть область Сертифікати - Поточний користувач , клацніть правою кнопкою миші праву область і виберіть Всі завдання, а потім Запит нового сертифіката.
   
7. Переконайтеся, що вибрано параметр « Політика реєстрації Active Directory », а потім натисніть « Далі».
   
8. Виберіть шаблон сертифіката, який дозволяє створити агента реєстрації для поточного користувача, а потім натисніть «Зареєструватися». У цьому прикладі використовується раніше створений шаблон реєстрації агента із зарахування .
   
9. Коли реєстрацію буде завершено, натисніть Готово.
   
10. За допомогою сертифіката агента реєстрації згенеруйте сертифікат користувача смарт-картки на основі попередньо згенерованого шаблону, вибравши папку «Сертифікати » в лівій панелі. Виберіть «Усі завдання», «Додаткові операції», а потім «Зареєструватися від імені».
    
11. Переконайтеся, що вибрано параметр « Політика реєстрації Active Directory », а потім натисніть « Далі».
    
12. Виберіть пункт Огляд, коли потрібно надіслати запит на сертифікат агента із реєстрації.
    
13. Переконайтеся, що вибрано відповідний сертифікат, а потім натисніть кнопку OK.
    
14. Переконайтеся, що вказано відповідного користувача, а потім натисніть Далі.
    
15. Виберіть попередньо створений шаблон для реєстрації користувача смарт-картки та натисніть кнопку Далі. У цьому прикладі використовується шаблон, який називається Smartcard User Enrollment.
    
16. Виберіть Огляд , щоб знайти потрібного користувача.
    
17. Змініть розташування, щоб виконати пошук у всьому каталозі, натиснувши «Розташування».
    
18. Виберіть відповідний домен або організаційну одиницю та натисніть кнопку ОК.
    
19. Введіть користувача, для якого потрібно створити сертифікат смарт-картки, а потім виберіть «Перевірити імена », щоб перевірити ім'я учасника користувача (UPN).
    
20. Підтвердьте правильного користувача, якщо знайдено кілька користувачів, а потім натисніть OK.
    
21. Підтвердьте інформацію про користувача та натисніть кнопку OK.
    
22. Ще раз підтвердьте інформацію про користувача та натисніть Зареєструватися.
    
23. Набір завершується швидко. Виберіть «Наступний користувач», щоб згенерувати інший сертифікат користувача, або « Закрити », щоб завершити процес створення сертифіката. У будь-який час у майбутньому для додаткових користувачів можна створити більше сертифікатів.
    

Експорт сертифікатів

Сертифікати спочатку експортуються у форматі PKCS12 для призначення смарт-карткам. Сертифікати повинні містити закритий ключ і повний ланцюжок сертифікатів.

Щоб експортувати сертифікат:

1. Відкрийте консоль керування Microsoft (MMC) від імені адміністратора, який призначає сертифікати на пристрої, приєднаному до домену, де настроєно шаблони сертифікатів.
   
2. Виберіть опцію Додати/видалити оснастку.
   
3. Виберіть Сертифікати, а потім натисніть Додати.
   
4. Переконайтеся, що вибрано параметр для Мій обліковий запис користувача .
   
5. Натисніть OK , щоб завантажити вибрані оснастки.
   
6. Розгорніть панель Сертифікати - Поточний користувач , а потім клацніть правою кнопкою миші користувача, якого потрібно експортувати. Виберіть «Усі завдання», а потім натисніть «Експорт».
   
7. Виберіть опцію Так, експортуйте приватний ключ, а потім натисніть Далі.
   
8. Зніміть прапорець Увімкнути конфіденційність сертифіката, виберіть Експортувати всі розширені властивості, а потім натисніть Далі.
   
9. Виберіть параметр Пароль, призначте надійний пароль для сертифіката, а потім натисніть Далі.
   
   Примітка: Не змінюйте параметр Шифрування.
10. Призначте ім'я файлу та розташування, а потім натисніть Далі.
    
11. Підтвердьте деталі, а потім натисніть «Готово », щоб завершити експорт.
    

Призначення сертифіката смарт-картці

Інсталюйте та завантажте програмне забезпечення VersaSec та будь-яке адміністративне проміжне програмне забезпечення, яке може знадобитися для смарт-карток, які готуються.

Щоб призначити сертифікат смарт-картці, виконайте такі дії:

1. Запустіть агент VersaSec і вставте смарт-карту.
2. Зайдіть в Дії з карткою - Сертифікати та ключі, потім виберіть Імпортувати.
   
3. Перейдіть до експортованого сертифіката та виберіть його, який потрібно прив'язати до смарт-картки. Введіть пароль сертифіката в полі «Пароль », а потім виберіть «Імпортувати».
   
4. Введіть PIN-код користувача, коли з'явиться запит на введення коду допуску , а потім натисніть OK.
   
5. Після того, як сертифікат буде завершено написано, він з'явиться в списку.
   
6. Після того, як усі сертифікати всіх облікових записів будуть записані на смарт-картку, її можна використовувати для входу в Windows або середовище автентифікації перед завантаженням Dell.

Увімкнення єдиного входу до Windows за допомогою смарт-карток

Процес увімкнення єдиного входу до Windows за допомогою смарт-карток відрізняється залежно від версії Dell Encryption Enterprise, яка використовується. Виберіть відповідну версію для отримання додаткової інформації. Щоб отримати інформацію про керування версіями, зверніться до розділу Як визначити Dell Encryption Enterprise або Dell Encryption Personal Version.

Dell Encryption Enterprise, v8.18 і пізніші версії

Зміна кінцевої точки не потрібна. Після встановлення політики через консоль керування всі зміни кінцевих точок відбуваються автоматично.

Для самих смарт-карток може знадобитися проміжне програмне забезпечення. Проконсультуйтеся з постачальником смарт-картки, щоб визначити, чи потрібно інсталювати проміжне програмне забезпечення на кожній кінцевій точці, щоб забезпечити автентифікацію в Windows.

Dell Encryption Enterprise, v8.17.2 і раніші версії

За замовчуванням на клієнтських комп'ютерах не буде єдиного входу. Щоб це сталося, потрібно додати розділ реєстру.

Ключ реєстру:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On  

1. Відкритий редактор реєстру
2. Розгорніть локальний комп'ютер HKEY.
3. Розгорніть програмне забезпечення.
4. Розширте можливості DigitalPersona.
5. Розгорніть політики.
6. Розгорнути за замовчуванням.
7. Створіть ключ і назвіть його Smartcards.
   
8. Створіть DWORD і назвіть його MSSmartcardSupport.
   
9. Для параметра Дані значення встановіть значення 1.