Dell 端點安全性智慧卡組態指南

若要利用智慧卡認證與 Dell Endpoint Security 開機前環境，我們必須設定 Active Directory 以允許憑證註冊和產生。

註冊代理程式憑證必須指派給嘗試為其他使用者指派憑證給智慧卡的任何使用者。

若要安裝和設定範本， 請啟用註冊代理程式的憑證範本，然後 新增智慧卡使用者範本。

若要啟用註冊代理程式的憑證範本：

1. 開啟認證機構 Microsoft Management Console (MMC)。
   
2. 展開至憑證範本。
3. 在右窗格中上按一下滑鼠右鍵，再按一下管理。
   
4. 以滑鼠右鍵按一下註冊代理程式，然後按一下複製範本。
   
5. 前往一般標籤。
6. 選取在 Active Directory 中發佈憑證的選項。
7. 或者，請更新範本顯示名稱和範本名稱。
   

若要新增智慧卡使用者範本：

1. 在認證機構的憑證範本主控台中，以滑鼠右鍵按一下智慧卡使用者範本，然後按一下複製範本。
   
2. 在要求處理標籤下，將目的修改為簽名和智慧卡登入。
   
3. 接受產生的提示。
   
4. 確認已勾選允許匯出私密金鑰。
   
5. 在主旨名稱標籤中，預設會顯示選項，要求使用定義的電子郵件地址作為替代驗證方法。某些環境可能會想要清除這些選項，以避免沒有 Active Directory 定義的電子郵件地址的使用者發生問題。
   1. 清除主旨名稱中包含電子郵件名稱的核取方塊。
      
   2. 清除在替代主旨名稱中包含此資訊區段下的電子郵件名稱。
      
6. 在 發行要求標籤下 ，選取 此授權簽名的數量方塊。
   1. 請將此授權簽名的數量設為 1。
   2. 將簽名中所需的 原則類型 保留為 應用程式原則。
   3. 將應用程式原則修改為憑證要求代理程式。
      
7. 按一下確定以發行此範本。
8. 在認證機構 MMC 中以滑鼠右鍵按一下憑證範本，然後按一下要發行的憑證範本以允許發行這兩個範本。
   
9. 選取您建立的兩個新的憑證範本。
   
10. 按一下確定。

本節說明 Dell Security Management Server 必須進行的變更，以便在開機前認證環境中啟用智慧卡功能。

系統管理員必須匯入根 CA 並修改原則。如需詳細資訊，請按一下適當的程序。

匯入根 CA

由於智慧卡憑證在本指南中是由內部認證機構 (CA) 簽署，因此我們必須確保根 CA 和任何中繼媒介 (本指南中未顯示) 已匯入憑證鏈結。

1. 從 Microsoft Management Console (MMC) 憑證匯出根認證機構的憑證。
   1. 啟動 MMC。
   2. 按一下檔案。
   3. 按一下新增/移除嵌入式管理單元。
   4. 選取憑證。
   5. 按一下新增。
   6. 選取電腦帳戶的弧形。
   7. 按一下完成。
   8. 按一下確定。
      
   9. 展開憑證。
   10. 展開 Trusted Root Certification Authorities。
   11. 選取憑證。
   12. 以滑鼠右鍵按一下網域 CA 發行的憑證。這些會與群組原則同步。
       
   13. 選取所有工作，然後按一下匯出。
   14. 將憑證匯出為 DER encoded binary X.509 (.CER)。
   15. 儲存並記錄位置，因為很快便會使用該位置。
2. 將此憑證匯入 Java 金鑰存放區的受信任憑證中。
   1. 開啟管理命令提示。
   2. 修改路徑以允許透過鍵入以下內容來執行 keytool 命令 Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" ，然後鍵入 Enter。
      注意：若為 Dell Security Management Server 9.2 版及更早版本，請輸入 Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" 然後按下 Enter 鍵。
   3. 輸入以下內容，以前往安全性伺服器的 conf 目錄。 %INSTALLDIR%\Enterprise Edition\Security Server\conf\ 然後按下 Enter 鍵。
      
   4. 輸入您在步驟 1 中匯出的 .cer 檔案，輸入 Java 金鑰存放區 （cacerts） Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts 然後按下 Enter 鍵。
      
   5. 輸入 cacerts 檔案密碼。
   6. 接受信任憑證的提示，方法是輸入 Y。
      
   7. 重新啟動 Security Server 以完成匯入。

修改原則

按一下 Dell Data Security 伺服器版本以取得適當的原則組態。如需版本資訊，請參閱如何識別 Dell Data Security/Dell Data Protection 伺服器版本。

v9.8.0 及更新版本

若要修改原則以允許 PBA 認證機制的智慧卡：

1. 開啟 Dell Data Security 管理主控台。
   注意：如需更多資訊，請參閱如何存取 Dell Data Security/Dell Data Protection Server 管理主控台。
2. 以可修改和認可原則的使用者身分登入。
3. 前往想要變更原則的填入。例如，選取填入，然後按一下 Enterprise。
4. 選取安全性原則標籤。
   
5. 選取開機前認證。
6. 將 SED 認證方法從密碼修改為智慧卡。
   注意：請確定已將自我加密磁碟機原則設定 為開啟 ，以為整個企業啟用此功能。
   
   
7. 儲存並認可原則。
   注意：如需更多資訊，請參閱如何認可 Dell Data Security/Dell Data Protection 伺服器的原則。

v9.2.0 至 9.7.0

若要修改原則以允許 PBA 認證機制的智慧卡：

1. 開啟 Dell Data Protection 管理主控台。
   注意：如需更多資訊，請參閱如何存取 Dell Data Security/Dell Data Protection Server 管理主控台。
2. 以可修改和認可原則的使用者身分登入。
3. 前往想要變更原則的填入。例如，選取填入，然後按一下 Enterprise。
4. 選取安全性原則標籤。
   
5. 選取自我加密磁碟機 (SED)。
6. 將 SED 認證方法從密碼修改為智慧卡。
   注意：請確定已將自我加密磁碟機原則設定 為開啟 ，以為整個企業啟用此功能。
   
   
7. 儲存並認可原則。
   注意：如需更多資訊，請參閱如何認可 Dell Data Security/Dell Data Protection 伺服器的原則。

v8.0.0 至 9.1.5

若要修改原則以允許 PBA 認證機制的智慧卡：

1. 修改原則以允許智慧卡作為 PBA 的驗證機制。
   1. 開啟遠端管理主控台。
      注意：如需更多資訊，請參閱如何存取 Dell Data Security/Dell Data Protection Server 管理主控台。
   2. 以可修改和認可原則的使用者身分登入。
   3. 前往 Enterprise。
   4. 按一下頂端的安全性原則。
   5. 覆寫 (Virtual Edition 中不提供)。
   6. 將原則類別下拉式內容修改為自我加密磁碟機。
      
   7. 展開 SED 管理。
   8. 將 SED 認證方法從密碼修改為智慧卡。
      
      注意：請確定啟用 SED 管理和啟用 PBA 已設為 True，以為整個企業啟用此功能。
   9. 儲存此原則。
   10. 按一下左側的認可原則。
   11. 按一下套用變更。

智慧卡預設為空白。每張智慧卡都必須有指派給該卡的憑證，才能新增認證的憑證。憑證通常會透過中介軟體應用程式指派給智慧卡。下列範例將概述如何透過適用於企業級智慧卡的舊版 Charismathics 軟體以及適用於個人身分識別驗證 (PIV) 型智慧卡的 VersaSec 匯入。在指派憑證後，系統管理員必須使用智慧卡啟用單一登入 Windows。如需詳細資訊，請選取適當的程序。

Charismathics

若要利用智慧卡，我們必須有可將憑證指派給裝置的註冊代理程式，以及有中介軟體將來自 Microsoft 認證機構的憑證資訊轉換為卡片可以使用的內容。

大部分智慧卡上並未預先設定安全性權杖。系統管理員必須在新的智慧卡上暫存安全性權杖、新增註冊代理程式的憑證，然後註冊使用者並推送憑證。如需詳細資訊，請按一下適當的程序。

在新的智慧卡上暫存安全性權杖

1. 開啟「密碼編譯服務提供者」(CSP)。
2. 當我們在沒有使用中權杖的情況下插入卡時，我們會取得基本資訊。
   
3. 建立安全性權杖後，我們必須確保是為 PKCS15 設定檔設定。
   
4. 建立此功能後，我們將會有更多選項，而且可以正確匯入憑證。
   

新增註冊代理程式的憑證

1. 開啟 Microsoft Management Console (MMC)。
2. 按一下檔案。
3. 按一下新增/移除嵌入式管理單元。
4. 選取憑證。
5. 按一下新增。
6. 選取我的使用者帳戶的弧形。
7. 按一下完成。
8. 按一下確定。
9. 展開憑證 - 目前使用者。
10. 展開個人。
11. 展開憑證，如果已存在。
12. 在中央窗格中按一下滑鼠右鍵，選取所有工作，然後要求新憑證。
    
13. 按一下下一步。
14. 保留選取 Active Directory 註冊原則。
15. 按一下下一步。
16. 選取我們之前建立和發佈的「註冊代理程式憑證」。
    
17. 按一下註冊。
18. 完成後，按一下完成。

註冊使用者並推送憑證

現在，我們可以將使用者註冊到產生的智慧卡，並使用憑證 MMC 將憑證推送至卡。

若要註冊使用者並推送憑證：

1. 開啟 Microsoft Management Console (MMC)。
2. 按一下檔案。
3. 按一下新增/移除嵌入式管理單元。
4. 選取憑證。
5. 按一下新增。
6. 選取我的使用者帳戶的弧形。
7. 按一下完成。
8. 按一下確定。
9. 展開憑證 - 目前使用者。
10. 展開個人。
11. 展開憑證，如果已存在。
12. 在中央窗格中按一下滑鼠右鍵，選取所有工作、進階作業，然後代表註冊。
    
13. 按一下下一步。
14. 保留選取 Active Directory 註冊原則。
15. 按一下下一步。
16. 按一下瀏覽。
17. 選取我們之前產生的註冊代理程式憑證，然後按一下確定。
    
18. 按一下下一步。
19. 選取我們之前產生的智慧卡使用者範本的弧形。
    
20. 選取詳細資料下拉式功能表，然後按一下內容。
    
21. 將「密碼編譯服務提供者」修改為您要使用的應用程式。在此案例中，則為 Charismathics。
    
22. 按一下確定。
23. 按一下下一步。
24. 按一下瀏覽，然後修改要從網域提取的位置。
    
    
    
25. 輸入使用者要註冊的使用者名稱。
26. 按一下檢查名稱以驗證使用者。
    
27. 按一下確定。
28. 按一下註冊。
29. 請遵循提示操作。
    
    
    
    
    
30. 按一下下一個使用者以使用相同方法註冊更多使用者，或按一下關閉以繼續。

智慧卡現在可用於 PBA 認證。

VersaSec

VersaSec 使用先前產生的憑證註冊新憑證。此程序會使用透過 Active Directory 建立的憑證範本，讓員工能夠產生登入憑證，以供其他員工在登入工作階段期間使用。系統管理員必須完成憑證註冊、憑證匯出，然後指派憑證給智慧卡。如需詳細資訊，請按一下適當的程序。

註冊憑證

若要註冊憑證：

1. 以系統管理員身分開啟 Microsoft Management Console (MMC)，並在已設定憑證範本網域的已加入裝置上指派憑證。
   
2. 選取新增/移除嵌入式管理單元的選項。
   
3. 選取憑證，然後選取新增。
   
4. 確定已選取我的使用者帳戶選項。
   
5. 選取確定以載入選取的嵌入式管理單元。
   
6. 展開憑證 - 目前使用者窗格，以滑鼠右鍵按一下右窗格，然後選取所有工作，然後要求新憑證。
   
7. 確定已選取 Active Directory 註冊原則選項，然後按一下下一步。
   
8. 選取允許為目前使用者建立註冊代理程式的憑證範本，然後選取註冊。此範例使用先前建立的註冊代理程式註冊範本。
   
9. 註冊完成後，按一下完成。
   
10. 透過註冊代理程式憑證，選取左窗格中的憑證資料夾，根據預先產生的範本來產生智慧卡使用者憑證。選取所有工作、進階作業，然後代表註冊。
    
11. 確定已選取 Active Directory 註冊原則選項，然後按一下下一步。
    
12. 在要求註冊代理程式憑證時選取瀏覽。
    
13. 確定已選取適當的憑證，然後按一下確定。
    
14. 確認已定義適當的使用者，然後按一下下一步。
    
15. 選取已為智慧卡使用者註冊預先建立的範本，然後按一下下一步。此範例會利用稱為智慧卡使用者註冊的範本。
    
16. 選取瀏覽以尋找合適的使用者。
    
17. 按一下位置以修改搜尋整個目錄的位置。
    
18. 選取適當的網域或組織單位，然後按一下確定。
    
19. 輸入您要為其產生智慧卡憑證的使用者，然後選取檢查名稱以驗證使用者主體名稱 (UPN)。
    
20. 如果找到多個使用者，請確認正確的使用者，然後選取確定。
    
21. 確認使用者資訊，然後按一下確定。
    
22. 再次確認使用者資訊，然後按一下註冊。
    
23. 註冊會快速完成。選取 下一個使用者 以產生其他使用者憑證，或選取 關閉 以完成憑證產生程序。日後隨時可為其他使用者建立更多憑證。
    

憑證匯出

憑證先以 PKCS12 格式匯出，再指派給智慧卡。憑證必須包含私密金鑰和完整憑證鏈結。

若要匯出憑證：

1. 以系統管理員身分開啟 Microsoft Management Console (MMC)，並在已設定憑證範本網域的已加入裝置上指派憑證。
   
2. 選取新增/移除嵌入式管理單元的選項。
   
3. 選取憑證，然後選取新增。
   
4. 確定已選取我的使用者帳戶選項。
   
5. 選取確定以載入選取的嵌入式管理單元。
   
6. 展開憑證 - 目前使用者窗格，然後以滑鼠右鍵按一下使用者以匯出。選取所有工作，然後按一下匯出。
   
7. 選取是，匯出私密金鑰選項，然後選取下一步。
   
8. 清除啟用憑證隱私權選項，選取匯出所有延伸內容，然後按一下下一步。
   
9. 選取密碼選項，為憑證指派安全的密碼，然後選取下一步。
   
   注意：請勿修改加密選項。
10. 指派檔案名稱和位置，然後選取下一步。
    
11. 確認詳細資料，然後選取完成以完成匯出。
    

將憑證指派給智慧卡

安裝和下載 VersaSec 軟體和佈建的智慧卡可能需要的任何系統管理中介軟體。

若要將憑證指派給智慧卡：

1. 啟動 VersaSec 代理程式並插入智慧卡。
2. 前往卡片動作 - 憑證和金鑰，然後選取匯入。
   
3. 瀏覽並選取匯出的憑證以綁定至智慧卡。在密碼欄位中輸入憑證密碼，然後選取匯入。
   
4. 在系統提示您輸入密碼金鑰時輸入使用者 pin，然後選取確定。
   
5. 憑證完成寫入後，即會出現在清單中。
   
6. 所有帳戶的所有憑證一旦寫入智慧卡後，即可用來登入 Windows 或 Dell 開機前認證環境。

啟用使用智慧卡單一登入 Windows

啟用使用智慧卡單一登入 Windows 的程序會依使用中的 Dell Encryption Enterprise 版本而有所不同。如需詳細資訊，請選取適當的版本。如需版本資訊，請參閱如何識別 Dell Encryption Enterprise 或 Dell Encryption Personal 版本。

Dell Encryption Enterprise、v8.18 及更新版本

不需要變更端點。透過管理主控台設定原則後，所有端點變更都會自動發生。

智慧卡本身可能需要中介軟體。請洽詢您的智慧卡廠商，判斷是否必須將中介軟體解決方案安裝在每個端點，以便允許 Windows 認證。

Dell Encryption Enterprise、v8.17.2 及更早版本

用戶端機器預設為不允許單一登入。必須新增登錄機碼，以允許此情況。

登錄機碼為：

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On  

1. 開啟 Registry Editor
2. 展開 HKEY 近端機器。
3. 展開軟體。
4. 展開 DigitalPersona。
5. 展開原則。
6. 展開預設。
7. 建立金鑰，然後為其命名 Smartcards。
   
8. 建立 DWORD，然後為其命名 MSSmartcardSupport。
   
9. 將值資料設定為 1。