Konfigurasjonsveiledning for smartkort for Dell Endpoint Security

For å utnytte smartkortgodkjenning med Dell Endpoint Security Pre-Boot-miljøet må vi konfigurere Active Directory for å tillate sertifikatregistrering og generering.

Et registreringsagentsertifikat må tilordnes til alle brukere som prøver å tilordne sertifikater til smartkort for andre brukere.

Hvis du vil konfigurere maler, aktiverer du sertifikatmalen for registreringsagenten, og deretter legger du til en ny brukermal for smartkort.

Slik aktiverer du sertifikatmalen for registreringsagenten:

1. Åpne sertifiseringsinstansen Microsoft Management Console (MMC).
   
2. Utvid til Sertifikatmaler.
3. Høyreklikk høyre rute, og klikk deretter Behandle.
   
4. Høyreklikk Registreringsagent, og klikk deretter Dupliser mal.
   
5. Gå til kategorien Generelt .
6. Velg alternativet for å publisere sertifikat i Active Directory.
7. Oppdater eventuelt malvisningsnavnet og malnavnet.
   

Slik legger du til en brukermal for smartkort:

1. Høyreklikk malen Smartkortbruker i Sertifiseringsinstansens sertifikatmalkonsoll, og klikk deretter Dupliser mal.
   
2. Under fanen Forespørselshåndtering endrer du formålet til Signatur og pålogging for smartkort.
   
3. Godta den resulterende ledeteksten.
   
4. Kontroller at det er merket av for Tillat eksport av privat nøkkel .
   
5. I kategorien Emnenavn finnes det alternativer som standard som krever at en definert e-postadresse brukes som en alternativ valideringsmetode. Noen miljøer vil kanskje fjerne disse alternativene for å unngå problemer med brukere som kanskje ikke har Active Directory-definerte e-postadresser.
   1. Fjern merket for Inkluder e-postnavn i emnenavn.
      
   2. Fjern e-postnavnet under delen Inkluder denne informasjonen i alternativt emnenavn .
      
6. I kategorien Utstedelseskrav merker du av for Dette antallet autoriserte signaturer.
   1. La dette antallet autoriserte signaturer være satt til 1.
   2. La policytypen som kreves i signaturen, være Programpolicy.
   3. Endre programpolicyen til Sertifikatforespørselsagent.
      
7. Klikk OK for å publisere denne malen.
8. Tillat at begge malene utstedes ved å høyreklikke Sertifikatmaler i MMC-sertifiseringsinstansen og deretter klikke Sertifikatmal som skal utstedes.
   
9. Velg de to nye sertifikatmalene du opprettet.
   
10. Klikk på OK.

Denne delen beskriver endringene som er nødvendige for Dell Security Management Server for å tillate smartkortfunksjonalitet i Pre-Boot Authentication-miljøet.

En administrator må importere rotsertifiseringsinstansen og endre policyen. Klikk på den aktuelle prosessen for å få mer informasjon.

Importere rotsertifiseringsinstansen

Siden smartkortsertifikatene er signert av den interne sertifiseringsinstansen (CA) i denne veiledningen, må vi sørge for at rotsertifiseringsinstansen og eventuelle mellomledd (ikke vist i denne veiledningen) importeres til sertifikatkjeden.

1. Eksporter sertifikatet til rotsertifiseringsinstansen fra sertifikatet Microsoft Management Console (MMC).
   1. Start MMC.
   2. Klikk på Fil.
   3. Klikk Legg til / fjern snapin-modul.
   4. Velg Sertifikater.
   5. Klikk på Add (Legg til).
   6. Velg Datamaskinkontostrålen .
   7. Klikk Finish Fullfør.
   8. Klikk på OK.
      
   9. Utvid sertifikatene.
   10. Utvid klarerte rotsertifiseringsinstanser.
   11. Velg Sertifikater.
   12. Høyreklikk sertifikatet utstedt av domenets sertifiseringsinstans. Disse synkroniseres med gruppepolicy.
       
   13. Velg Alle aktiviteter , og klikk deretter Eksporter.
   14. Eksporter sertifikatet som DER encoded binary X.509 (.CER).
   15. Lagre den og registrer deretter plasseringen slik den brukes om kort tid.
2. Importer dette sertifikatet til de klarerte sertifikatene til Java-nøkkellageret.
   1. Åpne en administrativ ledetekst.
   2. Endre banen for å tillate kjøring av kommandoer for nøkkelverktøy ved å skrive inn Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" , og skriv deretter inn Enter.
      Merk: For Dell Security Management Server versjon 9.2 og tidligere skriver du inn Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" , og trykk deretter Enter.
   3. Gå til sikkerhetsserverens conf-katalog ved å skrive %INSTALLDIR%\Enterprise Edition\Security Server\conf\ , og trykk deretter Enter.
      
   4. Importer .cer-filen som vi eksporterte i trinn 1 til Java-nøkkellageret (cacerts) ved å skrive Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts , og trykk deretter Enter.
      
   5. Skriv inn passordet til cacerts-filen.
   6. Godta ledeteksten om å klarere sertifikatet ved å skrive Y.
      
   7. Start Security Server på nytt for å fullføre importen.

Endre policy

Klikk på serverversjonen for Dell Data Security for å få riktige policykonfigurasjoner. Hvis du vil ha informasjon om versjonskontroll, kan du se Identifisere versjonen av Dell Data Security / Dell Data Protection Server (på engelsk).

v9.8.0 og nyere

Slik endrer du policyen for å tillate smartkort for PBA-godkjenningsmekanismen:

1. Åpne administrasjonskonsollen for Dell Data Security.
   Merk: Hvis du vil ha mer informasjon, kan du se Slik får du tilgang til administrasjonskonsollen for Dell Data Security / Dell Data Protection Server.
2. Logg på som en bruker som kan endre og utføre policy.
3. Gå til populasjonen der du vil gjøre policyendringen. Velg for eksempel populasjoner , og klikk deretter Virksomhet.
4. Velg kategorien Sikkerhetspolicyer .
   
5. Velg Pre-boot Authentication.
6. Endre SED-godkjenningsmetoden fra passord til smartkort.
   Merk: Kontroller at en policy for egenkryptering av disk er satt til på for å aktivere dette for hele virksomheten.
   
   
7. Lagre og utfør policyer .
   Merk: Hvis du vil ha mer informasjon, kan du se Slik utfører du policyer for Dell Data Security / Dell Data Protection Servers.

v9.2.0 til 9.7.0

Slik endrer du policyen for å tillate smartkort for PBA-godkjenningsmekanismen:

1. Åpne Dell Data Protection Administration-konsollen.
   Merk: Hvis du vil ha mer informasjon, kan du se Slik får du tilgang til administrasjonskonsollen for Dell Data Security / Dell Data Protection Server.
2. Logg på som en bruker som kan endre og utføre policy.
3. Gå til populasjonen der du vil gjøre policyendringen. Velg for eksempel populasjoner , og klikk deretter Virksomhet.
4. Velg kategorien Sikkerhetspolicyer .
   
5. Velg Selvkrypterende disk (SED).
6. Endre SED-godkjenningsmetoden fra passord til smartkort.
   Merk: Kontroller at en policy for egenkryptering av disk er satt til på for å aktivere dette for hele virksomheten.
   
   
7. Lagre og utfør policyer .
   Merk: Hvis du vil ha mer informasjon, kan du se Slik utfører du policyer for Dell Data Security / Dell Data Protection Servers.

v8.0.0 til 9.1.5

Slik endrer du policyen for å tillate smartkort for PBA-godkjenningsmekanismen:

1. Endre policyen for å tillate smartkort som godkjenningsmekanisme for PBA.
   1. Åpne den eksterne administrasjonskonsollen.
      Merk: Hvis du vil ha mer informasjon, kan du se Slik får du tilgang til administrasjonskonsollen for Dell Data Security / Dell Data Protection Server.
   2. Logg på som en bruker som kan endre og utføre policy.
   3. Gå til Enterprise.
   4. Klikk på Sikkerhetspolicyer øverst.
   5. Overstyring (ikke tilgjengelig i virtuell utgave).
   6. Endre rullegardinmenyen for policykategori til selvkrypterende disker.
      
   7. Utvid SED Administration (SED-administrasjon).
   8. Endre SED-godkjenningsmetoden fra passord til smartkort.
      
      Merk: Kontroller at Aktiver SED-administrasjon og Aktiver PBA er satt til True for å aktivere dette for hele virksomheten.
   9. Lagre disse retningslinjene.
   10. Klikk på Commit Policies til venstre.
   11. Klikk på Bruk endringer.

Smartkort er tomme som standard. Hvert smartkort må ha et sertifikat som er tilordnet for å legge til et sertifikat for godkjenning. Sertifikater tilordnes vanligvis smartkort gjennom et mellomvareprogram. Eksemplene nedenfor beskriver importen via en eldre Charismathics-programvare for smartkort i bedriftsklassen, og VersaSec for PIV-baserte smartkort (Personal Identity Verification). En administrator må aktivere enkel pålogging til Windows ved hjelp av smartkort etter tilordning av sertifikatet. Velg riktig prosess for å få mer informasjon.

Karismathics

For å utnytte smartkort må vi ha en registreringsagent som kan tilordne sertifikater til enheten og en mellomvare som oversetter sertifikatinformasjonen som kommer fra Microsofts sertifiseringsinstans til noe kortet kan bruke.

De fleste smartkort har ikke sikkerhetspoletter forhåndsinnstilt på dem. En administrator må sette opp et sikkerhetstoken på et nytt smartkort, legge til et sertifikat for registreringsagenten og deretter registrere brukere og push-sertifikater. Klikk på den aktuelle prosessen for å få mer informasjon.

Sette opp et sikkerhetstoken på et nytt smartkort

1. Åpne kryptografisk tjenesteleverandør (CSP).
2. Når vi setter inn et kort uten et aktivt token, får vi grunnleggende informasjon.
   
3. Når vi har opprettet et sikkerhetstoken, må vi sørge for at det er angitt for en PKCS15-profil.
   
4. Etter at dette er opprettet, vil vi ha mange flere alternativer, og kan importere et sertifikat riktig.
   

Legge til et sertifikat for registreringsagenten

1. Åpne Microsoft Management Console (MMC).
2. Klikk på Fil.
3. Klikk Legg til / fjern snapin-moduler.
4. Velg Sertifikater.
5. Klikk på Add (Legg til).
6. Velg raditallet for Min brukerkonto.
7. Klikk Finish Fullfør.
8. Klikk på OK.
9. Utvid Sertifikater – gjeldende bruker.
10. Utvid Personlig.
11. Utvid Sertifikater hvis det finnes.
12. Høyreklikk i den midterste ruten, velg Alle oppgaver, og velg deretter Be om nytt sertifikat.
    
13. Klikk på Next (Neste).
14. La policyen for Active Directory-registrering være valgt.
15. Klikk på Next (Neste).
16. Velg registreringsagentsertifikatet som vi opprettet og publiserte tidligere.
    
17. Klikk på Registrer.
18. Klikk på Fullfør når den er fullført.

Registrere brukere og push-sertifikater

Nå kan vi registrere brukere på smartkortet vi genererte, og skyve sertifikater til kortet ved hjelp av sertifikatet MMC.

Slik registrerer du brukere og push-sertifikater:

1. Åpne Microsoft Management Console (MMC).
2. Klikk på Fil.
3. Klikk Legg til / fjern snapin-moduler.
4. Velg Sertifikater.
5. Klikk på Add (Legg til).
6. Velg raditallet for Min brukerkonto.
7. Klikk Finish Fullfør.
8. Klikk på OK.
9. Utvid Sertifikater – gjeldende bruker.
10. Utvid Personlig.
11. Utvid Sertifikater hvis det finnes.
12. Høyreklikk i den midterste ruten, velg Alle oppgaver, Avanserte operasjoner og deretter Registrer på vegne av.
    
13. Klikk på Next (Neste).
14. La policyen for Active Directory-registrering være valgt.
15. Klikk på Next (Neste).
16. Klikk på Bla gjennom.
17. Velg registreringsagentsertifikatet som vi genererte tidligere, og klikk deretter på OK.
    
18. Klikk på Next (Neste).
19. Velg radialen for smartkortbrukermalen som vi genererte tidligere.
    
20. Velg rullegardinmenyen Detaljer , og klikk deretter Egenskaper.
    
21. Endre kryptografisk tjenesteleverandør til programmet du bruker. I dette tilfellet er det karismathikk.
    
22. Klikk på OK.
23. Klikk på Neste.
24. Klikk Bla gjennom , og endre deretter plasseringene som skal hentes fra domenet ditt.
    
    
    
25. Skriv inn brukernavnet til brukeren som skal registreres.
26. Klikk Kontroller navn for å validere brukeren.
    
27. Klikk på OK.
28. Klikk på Registrer.
29. Følg ledetekstene.
    
    
    
    
    
30. Klikk på Neste bruker for å registrere flere brukere med samme metode, eller klikk Lukk for å fortsette.

Smartkort kan nå brukes til PBA-godkjenning.

VersaSec

VersaSec bruker tidligere genererte sertifikater for ny sertifikatregistrering. Denne prosessen bruker sertifikatmaler som er opprettet via Active Directory, slik at en ansatt kan generere påloggingssertifikater som andre ansatte kan bruke under påloggingsøkten. En administrator må fullføre sertifikatregistrering, sertifikateksport og deretter tilordne et sertifikat til et smartkort. Klikk på den aktuelle prosessen for å få mer informasjon.

Sertifikatregistrering

Slik registrerer du et sertifikat:

1. Åpne Microsoft Management Console (MMC) som administrator ved å tilordne sertifikater på en enhet som er koblet til domenet der sertifikatmalene er konfigurert.
   
2. Velg alternativet Legg til / fjern snapin-modul.
   
3. Velg Sertifikater, og velg deretter Legg til.
   
4. Kontroller at alternativet for Min brukerkonto er valgt.
   
5. Velg OK for å laste inn de valgte snapin-modulene.
   
6. Utvid ruten Sertifikater – gjeldende bruker, høyreklikk i høyre rute, og velg deretter Alle oppgaver og deretter Be om nytt sertifikat.
   
7. Kontroller at alternativet for policyen for Active Directory-registrering er valgt, og klikk deretter på Neste.
   
8. Velg sertifikatmalen som gjør det mulig å opprette en registreringsagent for gjeldende bruker, og velg deretter Registrer. Dette eksemplet bruker den tidligere opprettede registreringsagentregistreringsmalen .
   
9. Når registreringen er fullført, klikker du på Fullfør.
   
10. Med et registreringsagentsertifikat kan du generere et smartkortbrukersertifikat som er basert på en forhåndsgenerert mal ved å velge Sertifikater-mappen i ruten til venstre. Velg Alle oppgaver, Avanserte operasjoner, og deretter Registrer på vegne av.
    
11. Kontroller at alternativet for policyen for Active Directory-registrering er valgt, og klikk deretter på Neste.
    
12. Velg Bla gjennom når det blir bedt om et registreringsagentsertifikat.
    
13. Kontroller at riktig sertifikat er valgt, og klikk deretter OK.
    
14. Bekreft at riktig bruker er definert, og klikk deretter Neste.
    
15. Velg malen som er forhåndsopprettet for registrering av smartkortleser, og klikk deretter på Neste. Dette eksemplet bruker en mal som kalles Smartcard User Enrollment.
    
16. Velg Bla gjennom for å finne riktig bruker.
    
17. Endre plasseringen for å søke i hele katalogen ved å klikke Plassering.
    
18. Velg riktig domene eller organisasjonsenhet, og klikk deretter OK.
    
19. Skriv inn brukeren du vil generere et smartkortsertifikat for, og velg deretter Kontroller navn for å validere brukerhovednavnet (UPN).
    
20. Bekreft riktig bruker hvis flere brukere blir funnet, og velg deretter OK.
    
21. Bekreft brukerinformasjonen, og klikk deretter OK.
    
22. Bekreft brukerinformasjonen på nytt, og klikk deretter på Registrer.
    
23. Registreringen fullføres raskt. Velg enten Neste bruker for å generere et nytt brukersertifikat, eller velg Lukk for å fullføre sertifikatgenereringsprosessen. Flere sertifikater kan opprettes for flere brukere når som helst i fremtiden.
    

Sertifikateksport

Sertifikater eksporteres først i PKCS12-format for tilordning til smartkort. Sertifikatene må inneholde den private nøkkelen og hele sertifikatkjeden.

Slik eksporterer du et sertifikat:

1. Åpne Microsoft Management Console (MMC) som en administrator som tilordner sertifikater på en enhet som er koblet til domenet der sertifikatmaler er konfigurert.
   
2. Velg alternativet Legg til / fjern snapin-modul.
   
3. Velg Sertifikater, og velg deretter Legg til.
   
4. Kontroller at alternativet for Min brukerkonto er valgt.
   
5. Velg OK for å laste inn de valgte snapin-modulene.
   
6. Utvid ruten Sertifikater – gjeldende bruker , og høyreklikk deretter brukeren for å eksportere. Velg Alle aktiviteter , og klikk deretter Eksporter.
   
7. Velg alternativet Ja, eksporter privatnøkkelen, og velg deretter Neste.
   
8. Fjern merket for alternativet Aktiver personvern for sertifikat, velg Eksporter alle utvidede egenskaper, og klikk deretter Neste.
   
9. Velg alternativet for Passord, tilordne et sikkert passord for sertifikatet, og velg deretter Neste.
   
   Merk: Ikke endre krypteringsalternativet.
10. Tilordne et filnavn og en plassering, og velg deretter Neste.
    
11. Bekreft detaljene, og velg deretter Fullfør for å fullføre eksporten.
    

Tilordne et sertifikat til et smartkort

Installer og last ned VersaSec-programvaren og eventuell administrativ mellomvare som kan være nødvendig for smartkortene som blir klargjort.

Slik tilordner du et sertifikat til et smartkort:

1. Start VersaSec-agenten og sett inn et smartkort.
2. Gå til Korthandlinger - Sertifikater og nøkler, og velg deretter Importer.
   
3. Bla til og velg det eksporterte sertifikatet som skal bindes til smartkortet. Skriv inn sertifikatpassordet i Passord-feltet , og velg deretter Importer.
   
4. Skriv inn bruker-PIN-koden når du blir bedt om passordet, og velg deretter OK.
   
5. Når sertifikatet er ferdig skrevet, vises det i listen.
   
6. Når alle sertifikatene for alle kontoene er skrevet til smartkortet, kan det brukes til å logge på Windows eller Dells preboot-godkjenningsmiljø.

Aktiver enkel pålogging til Windows ved hjelp av smartkort

Fremgangsmåten for å aktivere enkel pålogging til Windows ved hjelp av smartkort varierer avhengig av hvilken versjon av Dell Encryption Enterprise som er i bruk. Velg den aktuelle versjonen for mer informasjon. Hvis du vil ha versjonskontrollinformasjon, kan du se Slik identifiserer du Dell Encryption Enterprise- eller Dell Encryption Personal-versjonen.

Dell Encryption Enterprise, v8.18 og nyere

Ingen endepunktsendringer er nødvendige. Når policyen er angitt via administrasjonskonsollen, skjer alle endepunktendringer automatisk.

Smartkort i seg selv kan kreve mellomvare. Kontakt leverandøren av smartkortet for å finne ut om en mellomvareløsning må installeres på hvert endepunkt for å tillate godkjenning i Windows.

Dell Encryption Enterprise v8.17.2 og eldre

Klientmaskinene vil ikke logge på som standard. En registernøkkel må legges til for at dette skal skje.

Registernøkkelen er:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On  

1. Åpne Registerredigering
2. Utvid HKEY lokal maskin.
3. Utvid Programvare.
4. Utvid DigitalPersona.
5. Utvid policyer.
6. Utvid Standard.
7. Opprett en nøkkel og gi den et navn Smartcards.
   
8. Opprett et DWORD og gi det et navn MSSmartcardSupport.
   
9. Sett Verdidata til 1.