Konfigurationsvejledning til Dell Endpoint Security Smartcard

Hvis du vil udnytte smartcard-godkendelse med Dell Endpoint Security Pre-Boot-miljøet, skal vi konfigurere Active Directory, så det er muligt at tilmelde certifikater og generere certifikater.

Der skal tildeles et tilmeldingsagentcertifikat til alle brugere, der forsøger at tildele certifikater til smartcards for andre brugere.

Hvis du vil konfigurere og konfigurere skabeloner, skal du aktivere certifikatskabelonen for tilmeldingsagenten og derefter tilføje en ny smartcard-brugerskabelon.

Sådan aktiveres certifikatskabelonen for tilmeldingsagenten:

1. Åbn nøglecenteret Microsoft Management Console (MMC).
   
2. Udvid til Certifikatskabeloner.
3. Højreklik på højre rude, og klik derefter på Administrer.
   
4. Højreklik på Tilmeldingsagent, og klik derefter på Dubler skabelon.
   
5. Gå til fanen Generelt .
6. Vælg indstillingen Udgiv certifikat i Active Directory.
7. Du kan også opdatere det viste navn på skabelonen og navnet på skabelonen.
   

Sådan tilføjes en smartcard-brugerskabelon:

1. Højreklik på Smartcard-brugerskabelonen i nøglecenterets certifikatskabelonkonsol, og klik derefter på Dubler skabelon.
   
2. Under fanen Anmodningshåndtering skal du ændre formålet til Signatur og smartcard-logon.
   
3. Accepter den resulterende prompt.
   
4. Sørg for, at Tillad, at privat nøgle eksporteres er markeret.
   
5. Under fanen Emnenavn findes der som standard indstillinger for at kræve, at en defineret mailadresse bruges som en alternativ valideringsmetode. Nogle miljøer vil måske fjerne disse indstillinger for at undgå problemer med brugere, der muligvis ikke har Active Directory-definerede e-mailadresser.
   1. Fjern markeringen i afkrydsningsfeltet Medtag e-mail-navn i emnenavn.
      
   2. Ryd e-mail-navn under afsnittet Medtag disse oplysninger i alternativt emnenavn .
      
6. Under fanen Udstedelseskrav skal du vælge feltet Dette antal autoriserede signaturer.
   1. Lad dette antal autoriserede signaturer være angivet til 1.
   2. Lad den påkrævede politiktype i signaturen være Programpolitik.
   3. Ændre programpolitikken til Certificate Request Agent.
      
7. Klik på OK for at udgive denne skabelon.
8. Tillad, at begge skabeloner udstedes ved at højreklikke på Certifikatskabeloner i nøglecenterets MMC og derefter klikke på Certifikatskabelon, der skal udstedes.
   
9. Vælg de to nye certifikatskabeloner , du har oprettet.
   
10. Klik på OK.

Dette afsnit beskriver de ændringer, der er nødvendige for at aktivere smartcard-funktionalitet i Pre-Boot Authentication-miljøet.

En administrator skal importere rodnøglecenteret og ændre politikken. Klik på den relevante proces for at få flere oplysninger.

Importere rodnøglecenteret

Da smartcard-certifikaterne er signeret af den interne nøglemyndighed i denne vejledning, skal vi sikre, at rodnøglecenteret og eventuelle mellemled (som ikke vises i denne vejledning) importeres til certifikatkæden.

1. Eksportér rodnøglecenterets certifikat fra certifikatet MMC (Microsoft Management Console).
   1. Start MMC.
   2. Klik på Fil.
   3. Klik på Tilføj/fjern snap-in.
   4. Vælg Certifikater.
   5. Klik på Tilføj.
   6. Vælg Computerkontoen radial.
   7. Klik på Udfør.
   8. Klik på OK.
      
   9. Udvid certifikaterne.
   10. Udvid de rodnøglecentre, der er tillid til.
   11. Vælg Certifikater.
   12. Højreklik på det certifikat, der er udstedt af domænets nøglecenter. Disse synkroniseres med gruppepolitik.
       
   13. Vælg Alle opgaver , og klik derefter på Eksporter.
   14. Eksportér certifikatet som DER encoded binary X.509 (.CER).
   15. Gem det, og registrer derefter placeringen, som den bruges kort tid.
2. Importer dette certifikat til de pålidelige certifikater i Java keystore.
   1. Åbn en administrativ kommandoprompt.
   2. Rediger stien, så keytool-kommandoer kan køres ved at skrive Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" , og skriv derefter Enter.
      Bemærk: For Dell Security Management Server version 9.2 og tidligere skal du skrive Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" og derefter trykke på Enter.
   3. Gå til sikkerhedsserverens conf-bibliotek ved at skrive %INSTALLDIR%\Enterprise Edition\Security Server\conf\ og derefter trykke på Enter.
      
   4. Importer den .cer-fil, som vi eksporterede i trin 1, til Java keystore (cacerts) ved at skrive Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts og derefter trykke på Enter.
      
   5. Indtast adgangskoden til cacerts-filen.
   6. Accepter prompten om at have tillid til certifikatet ved at skrive Y.
      
   7. Genstart sikkerhedsserveren for at fuldføre importen.

Rediger politik

Klik på Dell Data Security-serverversionen for at se de relevante politikkonfigurationer. Du kan finde flere versionsoplysninger i Sådan identificerer du Dell Data Security/Dell Data Protection Server-versionen.

v9.8.0 og nyere

Sådan ændres politikken, så smartcards tillades til PBA-godkendelsesmekanismen:

1. Åbn Dell Data Security-administrationskonsollen.
   Bemærk: Du kan finde flere oplysninger i Sådan får du adgang til administrationskonsollen Dell Data Security/Dell Data Protection Server.
2. Log på som en bruger, der kan ændre og bekræfte en politik.
3. Gå til den population, hvor du vil foretage politikændringen. Vælg f.eks. Populationer , og klik derefter på Virksomhed.
4. Vælg fanen Sikkerhedspolitikker .
   
5. Vælg Pre-boot-godkendelse.
6. Skift SED-godkendelsesmetoden fra adgangskode til chipkort.
   Bemærk: Sørg for, at politikken for selvkrypterende drev er slået til for at aktivere dette for hele virksomheden.
   
   
7. Gem og bekræft politikker.
   Bemærk: Du kan finde flere oplysninger i Sådan forpligter du politikker for Dell Data Security- / Dell Data Protection-servere.

v9.2.0 til 9.7.0

Sådan ændres politikken, så smartcards tillades til PBA-godkendelsesmekanismen:

1. Åbn Dell Data Protection Administration-konsollen.
   Bemærk: Du kan finde flere oplysninger i Sådan får du adgang til administrationskonsollen Dell Data Security/Dell Data Protection Server.
2. Log på som en bruger, der kan ændre og bekræfte en politik.
3. Gå til den population, hvor du vil foretage politikændringen. Vælg f.eks. Populationer , og klik derefter på Virksomhed.
4. Vælg fanen Sikkerhedspolitikker .
   
5. Vælg Selvkrypterende drev (SED).
6. Skift SED-godkendelsesmetoden fra adgangskode til chipkort.
   Bemærk: Sørg for, at politikken for selvkrypterende drev er slået til for at aktivere dette for hele virksomheden.
   
   
7. Gem og bekræft politikker.
   Bemærk: Du kan finde flere oplysninger i Sådan forpligter du politikker for Dell Data Security- / Dell Data Protection-servere.

v8.0.0 til 9.1.5

Sådan ændres politikken, så smartcards tillades til PBA-godkendelsesmekanismen:

1. Rediger politikken for at tillade chipkort som godkendelsesmekanisme for PBA.
   1. Åbn fjernadministrationskonsollen.
      Bemærk: Du kan finde flere oplysninger i Sådan får du adgang til administrationskonsollen Dell Data Security/Dell Data Protection Server.
   2. Log på som en bruger, der kan ændre og bekræfte en politik.
   3. Gå til Enterprise.
   4. Klik på Sikkerhedspolitikker øverst.
   5. Tilsidesættelse (ikke tilgængelig i Virtual Edition).
   6. Skift rullemenuen Politikkategori til Selvkrypterende drev.
      
   7. Udvid SED-administration.
   8. Skift SED-godkendelsesmetoden fra adgangskode til chipkort.
      
      Bemærk: Sørg for, at Aktivér SED-administration og Aktivér PBA er indstillet til Sand , så dette kan bruges for hele virksomheden.
   9. Gem denne politik.
   10. Klik på Bekræft politikker til venstre.
   11. Klik på Anvend ændringer.

Smartcards er som standard tomme. Hvert smartcard skal have et certifikat, der er tildelt det, for at tilføje et certifikat til godkendelse. Certifikater tildeles typisk til chipkort via et middleware-program. Eksemplerne nedenfor skitserer importen gennem en ældre Charismathics-software til smartcards i virksomhedsklassen og VersaSec til personlig identitetsbekræftelse (PIV)-baserede smartcards. En administrator skal aktivere enkeltlogon til Windows ved hjælp af smartcards efter tildeling af certifikatet. Vælg den relevante proces for at få flere oplysninger.

Karismatikere

For at udnytte smartcards skal vi have en tilmeldingsagent, der kan tildele certifikater til enheden, og en middleware, der oversætter certifikatoplysningerne, der kommer fra Microsoft-nøglecenteret, til noget, kortet kan bruge.

De fleste smartcards har ikke forudindstillede sikkerhedstokens. En administrator skal gemme et sikkerhedstoken på et nyt chipkort, tilføje et certifikat til tilmeldingsagenten og derefter tilmelde brugere og push-certifikater. Klik på den relevante proces for at få flere oplysninger.

Sæt et sikkerhedstoken på et nyt smartcard

1. Åbn den kryptografiske tjenesteudbyder (CSP).
2. Når vi indsætter et kort uden et aktivt token, får vi grundlæggende oplysninger.
   
3. Når vi har oprettet et sikkerhedstoken, skal vi sikre, at det er indstillet til en PKCS15-profil.
   
4. Når dette er oprettet, har vi mange flere muligheder og kan importere et certifikat korrekt.
   

Tilføj et certifikat til tilmeldingsagenten

1. Åbn MMC (Microsoft Management Console).
2. Klik på Fil.
3. Klik på Tilføj/fjern snap-ins.
4. Vælg Certifikater.
5. Klik på Tilføj.
6. Vælg radialen for Min brugerkonto.
7. Klik på Udfør.
8. Klik på OK.
9. Udvid Certifikater - Aktuel bruger.
10. Udvid Personlig.
11. Udvid Certifikater , hvis de findes.
12. Højreklik i den midterste rude, vælg Alle opgaver, og derefter Anmod om nyt certifikat.
    
13. Klik på Næste.
14. Lad Active Directory-tilmeldingspolitik være valgt.
15. Klik på Næste.
16. Vælg det tilmeldingsagentcertifikat, som vi oprettede og udgav tidligere.
    
17. Klik på Tilmeld.
18. Klik på Udfør , når den er fuldført.

Tilmeld brugere og push-certifikater

Nu kan vi tilmelde brugere til det smartcard, vi genererede, og skubbe certifikater til kortet ved hjælp af certifikatet MMC.

Sådan tilmelder du brugere og push-certifikater:

1. Åbn MMC (Microsoft Management Console).
2. Klik på Fil.
3. Klik på Tilføj/fjern snap-ins.
4. Vælg Certifikater.
5. Klik på Tilføj.
6. Vælg radialen for Min brugerkonto.
7. Klik på Udfør.
8. Klik på OK.
9. Udvid Certifikater - Aktuel bruger.
10. Udvid Personlig.
11. Udvid Certifikater , hvis de findes.
12. Højreklik i den midterste rude, vælg Alle opgaver, Avancerede handlinger og derefter Tilmeld på vegne af.
    
13. Klik på Næste.
14. Lad Active Directory-tilmeldingspolitik være valgt.
15. Klik på Næste.
16. Klik på Browse (Gennemse).
17. Vælg tilmeldingsagentcertifikatet, som vi genererede tidligere, og klik derefter på OK.
    
18. Klik på Næste.
19. Vælg radialen for den Smartcard-brugerskabelon, vi genererede tidligere.
    
20. Vælg rullemenuen Detaljer , og klik derefter på Egenskaber.
    
21. Rediger den kryptografiske tjenesteudbyder til det program, du benytter. I dette tilfælde er det Charismathics.
    
22. Klik på OK.
23. Klik på Næste.
24. Klik på Gennemse , og rediger derefter de placeringer , der skal hentes fra dit domæne.
    
    
    
25. Indtast brugernavnet på den bruger, der skal tilmeldes.
26. Klik på Kontroller navne for at validere brugeren.
    
27. Klik på OK.
28. Klik på Tilmeld.
29. Følg anvisningerne.
    
    
    
    
    
30. Klik enten på Næste bruger for at tilmelde flere brugere ved hjælp af samme metode, eller klik på Luk for at fortsætte.

Smartcards kan nu udnyttes til PBA-godkendelse.

VersaSec

VersaSec bruger tidligere genererede certifikater til tilmelding af nye certifikater. Denne proces bruger certifikatskabeloner, der oprettes via Active Directory for at gøre det muligt for en medarbejder at generere logoncertifikater, som andre medarbejdere kan bruge under deres logonsession. En administrator skal fuldføre certifikattilmelding, certifikateksport og derefter tildele et certifikat til et smartcard. Klik på den relevante proces for at få flere oplysninger.

Tilmelding til certifikat

Sådan tilmelder du dig et certifikat:

1. Åbn MMC (Microsoft Management Console) som en administrator, der tildeler certifikater på en enhed, der er knyttet til det domæne, hvor certifikatskabeloner er konfigureret.
   
2. Vælg indstillingen Tilføj /fjern snap-in.
   
3. Vælg Certifikater , og vælg derefter Tilføj.
   
4. Sørg for, at indstillingen Min brugerkonto er valgt.
   
5. Vælg OK for at indlæse de valgte snap-ins.
   
6. Udvid ruden Certifikater - Aktuel bruger , højreklik på højre rude, og vælg derefter Alle opgaver og derefter Anmod om nyt certifikat.
   
7. Sørg for, at indstillingen for Active Directory-tilmeldingspolitik er valgt, og klik derefter på Næste.
   
8. Vælg den certifikatskabelon, der gør det muligt at oprette en tilmeldingsagent for den aktuelle bruger, og vælg derefter Tilmeld. I dette eksempel bruges den tidligere oprettede registreringsskabelon til tilmeldingsagent .
   
9. Når tilmeldingen er fuldført, skal du klikke på Udfør.
   
10. Med et tilmeldingsagentcertifikat kan du generere et smartcard-brugercertifikat, der er baseret på en forudgenereret skabelon, ved at vælge mappen Certifikater i venstre rude. Vælg Alle opgaver, Avancerede handlinger og derefter Tilmeld dig på vegne af.
    
11. Sørg for, at indstillingen for Active Directory-tilmeldingspolitik er valgt, og klik derefter på Næste.
    
12. Vælg Gennemse , når der anmodes om et tilmeldingsagentcertifikat.
    
13. Sørg for, at det relevante certifikat er valgt, og klik derefter på OK.
    
14. Bekræft, at den relevante bruger er defineret, og klik derefter på Næste.
    
15. Vælg den skabelon, der er oprettet på forhånd til smartcard-brugerregistrering, og klik derefter på Næste. I dette eksempel anvendes en skabelon, der kaldes Smartcard-brugerregistrering.
    
16. Vælg Gennemse for at finde den relevante bruger.
    
17. Rediger placeringen for at søge i hele biblioteket ved at klikke på Placering.
    
18. Vælg det relevante domæne eller den relevante organisationsenhed, og klik derefter på OK.
    
19. Angiv den bruger, du vil generere et smartcard-certifikat for, og vælg derefter Kontroller navne for at validere brugerens hovednavn (UPN).
    
20. Bekræft den korrekte bruger, hvis der findes flere brugere, og vælg derefter OK.
    
21. Bekræft brugeroplysningerne, og klik derefter på OK.
    
22. Bekræft brugeroplysningerne igen, og klik derefter på Tilmeld.
    
23. Tilmeldingen gennemføres hurtigt. Vælg enten Næste bruger for at generere et andet brugercertifikat, eller vælg Luk for at fuldføre certifikatoprettelsesprocessen. Der kan når som helst oprettes flere certifikater til flere brugere i fremtiden.
    

Eksport af certifikater

Certifikater eksporteres først i PKCS12-format for at blive tildelt smartcards. Certifikater skal indeholde den private nøgle og hele certifikatkæden.

Du eksporterer et certifikat på følgende måde:

1. Åbn MMC (Microsoft Management Console) som en administrator, der tildeler certifikater på en enhed, der er knyttet til det domæne, hvor certifikatskabeloner er konfigureret.
   
2. Vælg indstillingen Tilføj /fjern snap-in.
   
3. Vælg Certifikater , og vælg derefter Tilføj.
   
4. Sørg for, at indstillingen Min brugerkonto er valgt.
   
5. Vælg OK for at indlæse de valgte snap-ins.
   
6. Udvid ruden Certifikater - Aktuel bruger , og højreklik derefter på den bruger, der skal eksporteres. Vælg Alle opgaver , og klik derefter på Eksporter.
   
7. Vælg indstillingen Ja, eksporter den private nøgle, og vælg derefter Næste.
   
8. Fjern markeringen i indstillingen Aktivér beskyttelse af certifikatoplysninger, vælg Eksportér alle udvidede egenskaber, og klik derefter på Næste.
   
9. Vælg indstillingen for Adgangskode, tildel en sikker adgangskode til certifikatet, og vælg derefter Næste.
   
   Bemærk: Du må ikke ændre indstillingen Kryptering.
10. Tildel et filnavn og en placering, og vælg derefter Næste.
    
11. Bekræft oplysningerne, og vælg derefter Udfør for at fuldføre eksporten.
    

Tildel et certifikat til et smartcard

Installer og download VersaSec-softwaren og eventuel administrativ middleware, der kræves til de smartcards, der klargøres.

Sådan tildeles et certifikat til et smartcard:

1. Start VersaSec-agenten , og indsæt et smartcard.
2. Gå til Korthandlinger - Certifikater og nøgler, og vælg derefter Importer.
   
3. Gå til og vælg det eksporterede certifikat, der skal bindes til smartcardet. Indtast certifikatadgangskoden i feltet Adgangskode , og vælg derefter Importer.
   
4. Indtast brugerens pinkode, når du bliver bedt om adgangskoden, og vælg derefter OK.
   
5. Når certifikatet er færdigt skrevet, vises det på listen.
   
6. Når alle certifikater for alle konti er skrevet til smartcard et, kan det bruges til at logge på Windows eller Dell pre-boot-godkendelsesmiljøet.

Aktivér enkeltlogon til Windows ved hjælp af smartcards

Processen til at aktivere enkeltlogon til Windows ved hjælp af smartcards varierer afhængigt af den version af Dell Encryption Enterprise, der er i brug. Vælg den relevante version for at få flere oplysninger. Du kan finde versionsoplysninger i Sådan identificerer du Dell Encryption Enterprise eller Dell Encryption Personal-versionen.

Dell Encryption Enterprise, v8.18 og nyere

Der kræves ingen ændringer af slutpunktet. Når politikken er angivet via administrationskonsollen, sker alle slutpunktsændringer automatisk.

Smartcards selv kan kræve en middleware. Kontakt leverandøren af smartcards for at finde ud af, om der skal installeres en middlewareløsning på hvert slutpunkt for at muliggøre godkendelse i Windows.

Dell Encryption Enterprise, v8.17.2 og tidligere versioner

Klientmaskinerne vil som standard ikke enkeltlogon. Der skal tilføjes en registreringsdatabasenøgle, for at dette kan ske.

Registreringsdatabasenøglen er:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On  

1. Åbn Registreringseditor
2. Udvid HKEY Local Machine.
3. Udvid Software.
4. Udvid DigitalPersona.
5. Udvid Politikker.
6. Udvid Standard.
7. Opret en nøgle, og navngiv den derefter Smartcards.
   
8. Opret et DWORD, og navngiv det derefter MSSmartcardSupport.
   
9. Indstil værdidataene til 1.