Průvodce konfigurací čipové karty Dell Endpoint Security

Aby bylo možné využívat ověřování čipových karet v prostředí Dell Endpoint Security před spuštěním, je nutné nakonfigurovat službu Active Directory tak, aby umožňovala registraci a generování certifikátů.

Certifikát agenta pro zápis certifikátu musí být přiřazen všem uživatelům, kteří se pokouší přiřazovat certifikáty k čipových kartám jiných uživatelů.

Chcete-li nastavit a nakonfigurovat šablony, povolte šablonu certifikátu pro agenta pro zápis certifikátu a poté přidejte novou šablonu uživatele čipové karty.

Povolení šablony certifikátu pro agenta pro zápis certifikátu:

1. Otevřete konzoli MMC (Microsoft Management Console) Certifikační autorita.
   
2. Rozbalte nabídku Šablony certifikátů.
3. Pravým tlačítkem klikněte na pravé podokno a poté klikněte na položku Spravovat.
   
4. Pravým tlačítkem klikněte na položku Agent pro zápis certifikátu a poté klikněte na možnost Vytvořit duplikát šablony.
   
5. Přejděte na kartu Obecné.
6. Vyberte možnost Publikovat certifikát v adresáři Active Directory.
7. Volitelně aktualizujte zobrazovaný název šablony a název šablony.
   

Přidání šablony uživatele čipové karty:

1. V části Šablony certifikátů konzole Certifikační autorita klikněte pravým tlačítkem na šablonu Uživatel čipové karty a poté klikněte na možnost Vytvořit duplikát šablony.
   
2. Na kartě Vyřízení žádosti upravte možnost Účel na Podpis a přihlášení pomocí karty SmartCard.
   
3. Přijměte zobrazenou výzvu.
   
4. Zkontrolujte, zda je zaškrtnuta možnost Umožnit export privátního klíče.
   
5. Na kartě Název subjektu jsou ve výchozím nastavení k dispozici možnosti, které vyžadují použití definované e-mailové adresy jako alternativní metody ověření. V některých prostředích může být potřeba tyto možnosti smazat, aby se zabránilo problémům s uživateli, kteří nemají e-mailové adresy definované službou Active Directory.
   1. Zrušte zaškrtnutí políčka Zahrnout elektronickou adresu v názvu subjektu.
      
   2. Zrušte zaškrtnutí políčka E-mailová adresa v části Zahrnout elektronickou adresu v názvu subjektu.
      
6. Na kartě Požadavky na vystavování zaškrtněte pole Tento počet ověřených podpisů.
   1. Ponechte pole Tento počet ověřených podpisů: nastavené na hodnotu 1.
   2. Jako Typ zásady požadovaný v podpisu ponechte hodnotu Zásada použití.
   3. Upravte položku Zásada použití na Agent podávání žádostí o certifikát.
      
7. Kliknutím na OK tuto šablonu publikujete.
8. Povolte vystavení obou šablon kliknutím pravým tlačítkem na Šablony certifikátů v konzoli MMC Certifikační autorita a následným kliknutím na možnost Vystavovaná šablona certifikátu.
   
9. Vyberte dvě nové Šablony certifikátů, které jste vytvořili.
   
10. Klikněte na tlačítko OK.

Tato část popisuje změny nezbytné pro nástroj Dell Security Management Server, aby bylo možné používat funkci čipových karet v prostředí ověřování před spuštěním.

Správce musí importovat kořenovou certifikační autoritu a upravit zásadu. Další informace získáte po kliknutí na příslušný proces.

Import kořenové certifikační autority

Vzhledem k tomu, že certifikáty čipových karet jsou v této příručce podepsány interní certifikační autoritou (CA), je třeba zajistit, aby kořenová certifikační autorita a jakékoliv zprostředkující autority (nejsou ukázány v tomto návodu) byly importovány do řetězce certifikátů.

1. Exportujte certifikát kořenové certifikační autority z konzole MMC (Microsoft Management Console) certifikátů.
   1. Spusťte nástroj MMC.
   2. Klikněte na položku Soubor.
   3. Klikněte na Přidat nebo odebrat modul snap-in.
   4. Vyberte možnost Certifikáty.
   5. Klikněte na tlačítko Add.
   6. Vyberte položku Účet počítače.
   7. Klikněte na tlačítko Dokončit.
   8. Klikněte na tlačítko OK.
      
   9. Rozbalte složku Certifikáty.
   10. Rozbalte položku Důvěryhodné kořenové certifikační autority.
   11. Vyberte možnost Certifikáty.
   12. Klikněte pravým tlačítkem na certifikát vydaný certifikační autoritou vaší domény. Ty jsou synchronizovány se zásadami skupiny.
       
   13. Vyberte možnost Všechny úlohy a poté klikněte na možnost Exportovat.
   14. Exportujte certifikát jako DER encoded binary X.509 (.CER).
   15. Uložte jej a poznamenejte si umístění tak, jak ho budete brzy potřebovat.
2. Importujte tento certifikát do důvěryhodných certifikátů úložiště klíčů Java.
   1. Otevřete příkazový řádek správce.
   2. Upravte cestu tak, aby umožňovala spouštění příkazů keytool zadáním Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" a zadejte Enter.
      Poznámka: Pro nástroj Dell Security Management Server verze 9.2 a starší zadejte příkaz Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" a poté stiskněte Enter.
   3. Přejděte do adresáře conf serveru zabezpečení zadáním příkazu %INSTALLDIR%\Enterprise Edition\Security Server\conf\ a poté stiskněte Enter.
      
   4. Zadáním příkazu importujte soubor .cer, který jsme exportovali v kroku 1, do úložiště klíčů Java (cacerts). Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts a poté stiskněte Enter.
      
   5. Zadejte heslo souboru cacerts.
   6. Přijměte výzvu k důvěřování certifikátu zadáním příkazu Y.
      
   7. Dokončete import restartováním nástroje Security Server.

Úprava zásady

Kliknutím na verzi serveru Dell Data Security získáte odpovídající konfigurace zásad. Informace o verzích naleznete v článku Jak zjistit verzi nástroje Dell Data Security / Dell Data Protection Server.

v9.8.0 a novější

Úprava zásad pro povolení čipových karet pro mechanismus ověřování PBA:

1. Otevřete konzoli pro správu Dell Data Security.
   Poznámka: Další informace naleznete v článku Jak otevřít konzoli pro správu nástroje Dell Data Security / Dell Data Protection Server.
2. Přihlaste se jako uživatel, který může upravovat a potvrzovat zásady.
3. Přejděte do umístění, kde chcete změnit zásady. Například vyberte možnost Populations a klikněte na možnost Enterprise.
4. Vyberte kartu Security Policies.
   
5. Vyberte možnost Pre-Boot Authentication.
6. Změňte způsob ověřování SED z možnost Password na Smartcard.
   Poznámka: Aby bylo možné povolit tuto zásadu pro celou firmu, ujistěte se, že je zapnuta zásada samošifrovací jednotky.
   
   
7. Uložte a potvrďte zásady.
   Poznámka: Další informace naleznete v článku Jak potvrdit zásady pomocí nástroje Dell Data Security / Dell Data Protection Server.

v9.2.0 až 9.7.0

Úprava zásad pro povolení čipových karet pro mechanismus ověřování PBA:

1. Otevřete konzoli pro správu Dell Data Protection.
   Poznámka: Další informace naleznete v článku Jak otevřít konzoli pro správu nástroje Dell Data Security / Dell Data Protection Server.
2. Přihlaste se jako uživatel, který může upravovat a potvrzovat zásady.
3. Přejděte do umístění, kde chcete změnit zásady. Například vyberte možnost Populations a klikněte na možnost Enterprise.
4. Vyberte kartu Security Policies.
   
5. Klikněte na položku Self-Encrypting Drive (SED).
6. Změňte způsob ověřování SED z možnost Password na Smartcard.
   Poznámka: Aby bylo možné povolit tuto zásadu pro celou firmu, ujistěte se, že je zapnuta zásada samošifrovací jednotky.
   
   
7. Uložte a potvrďte zásady.
   Poznámka: Další informace naleznete v článku Jak potvrdit zásady pomocí nástroje Dell Data Security / Dell Data Protection Server.

v8.0.0 až 9.1.5

Úprava zásad pro povolení čipových karet pro mechanismus ověřování PBA:

1. Upravte zásadu, aby čipové karty byly povoleny jako mechanismus ověřování pro PBA.
   1. Otevřete konzoli pro vzdálenou správu.
      Poznámka: Další informace naleznete v článku Jak otevřít konzoli pro správu nástroje Dell Data Security / Dell Data Protection Server.
   2. Přihlaste se jako uživatel, který může upravovat a potvrzovat zásady.
   3. Přejděte do části Enterprise.
   4. V horní části klikněte na položku Security Policies.
   5. Vyberte Override (není k dispozici ve verzi Virtual Edition).
   6. V rozevíracím seznamu Policy Category vyberte možnost Self-Encrypting Drives.
      
   7. Rozbalte položku SED Administration.
   8. Změňte způsob ověřování SED z možnost Password na Smartcard.
      
      Poznámka: Ujistěte se, že jsou možnosti Enable SED Management a Activate PBA nastaveny na hodnotu True, aby byla zásada povolena pro celou firmu.
   9. Uložte tuto zásadu.
   10. Klikněte na možnost Commit Policies vlevo.
   11. Klikněte na možnost Apply Changes.

Čipové karty jsou ve výchozím nastavení prázdné. Každá čipová karta musí mít k dispozici certifikát, který jí je přiřazen, aby bylo možné přidat certifikát pro ověření. Certifikáty se obvykle přiřazují čipovým kartám prostřednictvím middleware aplikace. V níže uvedených příkladech je popsán import prostřednictvím staršího softwaru Charismathics pro čipové karty podnikové třídy a čipové karty VersaSec pro ověření osobní identity (PIV). Správce musí po přiřazení certifikátu povolit jednotné přihlašování do systému Windows pomocí čipových karet. Další informace získáte výběrem příslušného procesu.

Charismathics

Abychom mohli využívat čipové karty, musíme mít agenta pro zápis certifikátu, který může přiřadit certifikáty k zařízení a middlewaru, který překládá informace o certifikátu z certifikační autority Microsoft na něco, co karta může používat.

Většina čipových karet nemá přednastavené bezpečnostní tokeny. Správce musí vystavit token zabezpečení na novou čipovou kartu, přidat certifikát agenta pro zápis certifikátu a poté zaregistrovat uživatele a odeslat certifikáty. Další informace získáte po kliknutí na příslušný proces.

Vystavení tokenu zabezpečení na novou čipovou kartu

1. Otevřete zprostředkovatele kryptografických služeb (CSP).
2. Když vložíme kartu bez aktivního tokenu, zobrazí se základní informace.
   
3. Jakmile vytvoříme bezpečnostní token, je třeba se ujistit, že je nastaven pro profil PKCS15.
   
4. Po vytvoření získáme mnoho dalších možností a budeme moci certifikát řádně importovat.
   

Přidání certifikátu pro agenta pro zápis certifikátu

1. Otevřete konzoli Microsoft Management Console (MMC).
2. Klikněte na položku Soubor.
3. Klikněte na možnost Přidat nebo odebrat modul snap-in.
4. Vyberte možnost Certifikáty.
5. Klikněte na tlačítko Add.
6. Vyberte možnost Můj uživatelský účet.
7. Klikněte na tlačítko Dokončit.
8. Klikněte na tlačítko OK.
9. Rozbalte položku Certifikáty – aktuální uživatel.
10. Rozbalte položku Osobní.
11. Rozbalte možnost Certifikáty, pokud existuje.
12. Klikněte pravým tlačítkem myši do prostředního podokna, vyberte možnost Všechny úkoly a poté Požádat o nový certifikát.
    
13. Klikněte na tlačítko Další.
14. Ponechte vybranou možnost Zásady zápisu do služby Active Directory.
15. Klikněte na tlačítko Další.
16. Vyberte certifikát agenta pro zápis certifikátu, který jsme vytvořili a zveřejnili dříve.
    
17. Klikněte na možnost Zaregistrovat.
18. Po dokončení klikněte na tlačítko Dokončit.

Registrace uživatelů a odeslání certifikátů

Nyní můžeme pomocí konzole MMC certifikátu zaregistrovat uživatele do čipové karty, kterou jsme vygenerovali, a odeslat certifikáty na kartu.

Registrace uživatelů a odeslání certifikátů:

1. Otevřete konzoli Microsoft Management Console (MMC).
2. Klikněte na položku Soubor.
3. Klikněte na možnost Přidat nebo odebrat modul snap-in.
4. Vyberte možnost Certifikáty.
5. Klikněte na tlačítko Add.
6. Vyberte možnost Můj uživatelský účet.
7. Klikněte na tlačítko Dokončit.
8. Klikněte na tlačítko OK.
9. Rozbalte položku Certifikáty – aktuální uživatel.
10. Rozbalte položku Osobní.
11. Rozbalte možnost Certifikáty, pokud existuje.
12. Klikněte pravým tlačítkem myši do prostředního podokna, vyberte možnost Všechny úkoly, Upřesnit operace a poté Zápis jménem.
    
13. Klikněte na tlačítko Další.
14. Ponechte vybranou možnost Zásady zápisu do služby Active Directory.
15. Klikněte na tlačítko Další.
16. Klikněte na tlačítko Browse.
17. Vyberte certifikát agenta pro zápis certifikátu, který jsme vytvořili dříve, a klikněte na tlačítko OK.
    
18. Klikněte na tlačítko Další.
19. Vyberte typ šablony uživatele čipové karty, kterou jsme vytvořili dříve.
    
20. Rozbalte rozevírací seznam Podrobnosti a klikněte na možnost Vlastnosti.
    
21. Upravte zprostředkovatele kryptografických služeb na aplikaci, kterou využíváte. V tomto případě se jedná o Charismathics.
    
22. Klikněte na tlačítko OK.
23. Klikněte na tlačítko Další.
24. Klikněte na tlačítko Procházet a poté upravte Umístění, která chcete stáhnout z domény.
    
    
    
25. Zadejte uživatelské jméno uživatele, kterého chcete zaregistrovat.
26. Kliknutím na tlačítko Zkontrolovat jména ověřte uživatele.
    
27. Klikněte na tlačítko OK.
28. Klikněte na možnost Zaregistrovat.
29. Postupujte podle pokynů.
    
    
    
    
    
30. Kliknutím na tlačítko Další uživatel zaregistrujte další uživatele pomocí stejné metody nebo pokračujte kliknutím na tlačítko Zavřít.

Čipové karty lze nyní využít k ověřování PBA.

VersaSec

Software VersaSec používá dříve generované certifikáty pro zápis nového certifikátu. Tento proces používá šablony certifikátů vytvořené službou Active Directory, které zaměstnanci umožňují generovat přihlašovací certifikáty pro jiné zaměstnance, které budou používat během své relace přihlášení. Správce musí dokončit registraci certifikátu, export certifikátu a poté přiřadit certifikát čipové kartě. Další informace získáte po kliknutí na příslušný proces.

Registrace certifikátu

Registrace certifikátu:

1. Otevřete konzoli MMC (Microsoft Management Console) jako správce, který přiřazuje certifikáty na zařízení připojeném k doméně, kde byly nakonfigurovány šablony certifikátů.
   
2. Vyberte možnost Přidat nebo odebrat modul snap-in.
   
3. Vyberte možnost Certifikáty a poté možnost Přidat.
   
4. Zkontrolujte, zda je vybrána možnost Můj uživatelský účet .
   
5. Výběrem možnosti OK načtěte vybrané moduly snap-in.
   
6. Rozbalte podokno Certifikáty – aktuální uživatel, klikněte pravým tlačítkem na pravé podokno a vyberte možnost Všechny úkoly a poté Požádat o nový certifikát.
   
7. Ujistěte se, že je vybrána možnost Zásady zápisu do služby Active Directory a klikněte na tlačítko Další.
   
8. Vyberte šablonu certifikátu, která umožňuje vytvořit agenta pro zápis certifikátu pro aktuálního uživatele, a poté vyberte možnost Zaregistrovat. V tomto příkladu se používá dříve vytvořená šablona registrace agenta pro zápis certifikátu.
   
9. Po dokončení registrace klikněte na tlačítko Dokončit.
   
10. S certifikátem agenta pro zápis certifikátu vygenerujte certifikát uživatele čipové karty, který je založen na předvygenerované šabloně výběrem složky Certifikáty v levém podokně. Vyberte možnost Všechny úkoly, Upřesnit operace a poté Zápis jménem.
    
11. Ujistěte se, že je vybrána možnost Zásady zápisu do služby Active Directory a klikněte na tlačítko Další.
    
12. Vyberte možnost Procházet, když je požadován certifikát agenta pro zápis certifikátu.
    
13. Ujistěte se, že je vybrán příslušný certifikát, a klikněte na tlačítko OK.
    
14. Zkontrolujte, že je definován příslušný uživatel, a klikněte na tlačítko Další.
    
15. Vyberte šablonu, která byla předem vytvořena pro registraci uživatele čipových karet, a klikněte na tlačítko Další. V tomto příkladu se používá šablona nazvaná Smartcard User Enrollment.
    
16. Výběrem možnosti Procházet vyhledejte příslušného uživatele.
    
17. Kliknutím na možnost Umístění upravte umístění tak, aby se prohledával celý adresář.
    
18. Vyberte příslušnou doménu nebo organizační jednotku a klikněte na tlačítko OK.
    
19. Zadejte uživatele, pro kterého chcete vygenerovat certifikát čipové karty, a poté výběrem možnosti Zkontrolovat jména ověřte hlavní jméno uživatele (UPN).
    
20. Potvrďte správného uživatele, pokud je nalezeno více uživatelů, a poté vyberte možnost OK.
    
21. Potvrďte informace o uživateli a klikněte na tlačítko OK.
    
22. Znovu potvrďte informace o uživateli a klikněte na možnost Zaregistrovat.
    
23. Registrace se dokončí rychle. Chcete-li vygenerovat další uživatelský certifikát, vyberte možnost Další uživatel , nebo kliknutím na tlačítko Zavřít dokončete proces generování certifikátů. Další certifikáty lze vytvořit pro další uživatele kdykoli v budoucnosti.
    

Export certifikátu

Certifikáty je třeba nejprve exportovat ve formátu PKCS12, aby mohl být přiřazen čipovým kartám. Certifikáty musí obsahovat soukromý klíč a celý řetězec certifikátů.

Export certifikátu:

1. Spusťte konzoli MMC (Microsoft Management Console) jako správce, který přiřazuje certifikáty na zařízení připojeném k doméně, kde jsou nakonfigurovány šablony certifikátů.
   
2. Vyberte možnost Přidat nebo odebrat modul snap-in.
   
3. Vyberte možnost Certifikáty a poté klikněte na možnost Přidat.
   
4. Zkontrolujte, zda je vybrána možnost Můj uživatelský účet .
   
5. Výběrem možnosti OK načtěte vybrané moduly snap-in.
   
6. Rozbalte podokno Certifikáty – aktuální uživatel a poté klikněte pravým tlačítkem na uživatele, kterého chcete exportovat. Vyberte možnost Všechny úlohy a poté klikněte na možnost Exportovat.
   
7. Vyberte možnost Ano, exportovat soukromý klíč a poté vyberte možnost Další.
   
8. Zrušte výběr možnosti Zapnout ochranu osobních údajů u certifikátu, vyberte možnost Exportovat všechny rozšířené vlastnosti a klikněte na tlačítko Další.
   
9. Vyberte možnost Heslo, přiřaďte k certifikátu bezpečné heslo a poté vyberte možnost Další.
   
   Poznámka: Možnost Šifrování neupravujte.
10. Přiřaďte název souboru a umístění a poté vyberte možnost Další.
    
11. Potvrďte podrobnosti a dokončete export výběrem možnosti Dokončit.
    

Přiřazení certifikátu k čipové kartě

Nainstalujte a stáhněte software VersaSec a jakýkoli administrativní middleware, který může být vyžadován pro přidělování čipových karet.

Přiřazení certifikátu k čipové kartě:

1. Spusťte agenta VersaSec a vložte čipovou kartu.
2. Přejděte do části Card Actions – Certificates and Keys a vyberte možnost Import.
   
3. Vyhledejte a vyberte exportovaný certifikát, který chcete připojit k čipové kartě. Do pole Password zadejte heslo certifikátu a vyberte možnost Import.
   
4. Po zobrazení výzvy Passcode zadejte kód PIN uživatele a poté vyberte možnost OK.
   
5. Jakmile se dokončí zápis certifikátu, zobrazí se v seznamu.
   
6. Po zápisu všech certifikátů pro všechny účty na čipovou kartu lze kartu použít k přihlášení do systému Windows nebo do ověřovacího prostředí Dell před spuštěním.

Povolení jednotného přihlašování do systému Windows pomocí čipových karet

Postup povolení jednotného přihlášení do systému Windows pomocí čipových karet se liší v závislosti na používané verzi aplikace Dell Encryption Enterprise. Další informace získáte po výběru příslušné verze. Informace o verzích naleznete v článku Jak zjistit verzi nástroje Dell Encryption Enterprise nebo Dell Encryption Personal.

Dell Encryption Enterprise, v8.18 a novější

Nejsou vyžadovány žádné změny koncového bodu. Jakmile jsou zásady nastaveny prostřednictvím konzole pro správu, všechny změny koncového bodu se provedou automaticky.

Samotné čipové karty mohou vyžadovat middleware. Obraťte se na výrobce čipových karet a zjistěte, zda je v každém koncovém bodě nutné nainstalovat řešení middleware, aby bylo možné použít ověřování do systému Windows.

Dell Encryption Enterprise, v8.17.2 a starší

Klientské počítače se ve výchozím nastavení nepřihlašují pomocí jednotného přihlášení. K tomu je nutné přidat klíč registru.

Klíč registru je:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On  

1. Otevřete Editor registru
2. Rozbalte položku HKEY Local Machine.
3. Rozbalte položku Software.
4. Rozbalte položku DigitalPersona.
5. Rozbalte položku Policies.
6. Rozbalte položku Default.
7. Vytvořte klíč a pojmenujte ho. Smartcards.
   
8. Vytvořte hodnotu DWORD a pojmenujte ji MSSmartcardSupport.
   
9. Nastavte Údaj hodnoty na 1.