Руководство по настройке смарт-карты Dell Endpoint Security

Чтобы использовать аутентификацию по смарт-карте с предзагрузочной средой Dell Endpoint Security, необходимо настроить Active Directory, чтобы разрешить регистрацию и создание сертификатов.

Сертификат агента регистрации должен быть назначен всем пользователям, которые пытаются назначить сертификаты смарт-картам для других пользователей.

Чтобы настроить шаблоны, включите шаблон сертификата для агента регистрации, а затем добавьте новый шаблон пользователя смарт-карты.

Чтобы включить шаблон сертификата для агента регистрации, выполните следующие действия.

1. Откройте Microsoft Management Console (MMC) в Центре сертификации.
   
2. Разверните раздел Шаблоны сертификатов.
3. Нажмите правой кнопкой мыши на правую панель и выберите Управление.
   
4. Правой кнопкой мыши нажмите Агент регистрации и выберите Скопировать шаблон.
   
5. Перейдите на вкладку Общие.
6. Выберите параметр Опубликовать сертификат в Active Directory.
7. При необходимости обновите Отображаемое имя шаблона и Имя шаблона.
   

Чтобы добавить шаблон пользователя смарт-карты, выполните следующие действия.

1. В консоли шаблонов сертификатов Центра сертификации правой кнопкой мыши нажмите на шаблон Пользователь смарт-карты и выберите Скопировать шаблон.
   
2. На вкладке Обработка запроса измените Цель на Вход с подписью и смарт-картой.
   
3. Примите появившийся запрос.
   
4. Убедитесь, что установлен флажок Разрешить экспортировать закрытый ключ.
   
5. На вкладке Имя субъекта по умолчанию доступны параметры, требующие использования определенного адреса электронной почты в качестве альтернативного метода проверки. В некоторых средах может потребоваться отменить выбор этих параметров, чтобы избежать проблем с пользователями, у которых не определены адреса электронной почты Active Directory.
   1. Снимите флажок Включить имя электронной почты в имя субъекта.
      
   2. Очистите поле Имя электронной почты в разделе Включить эту информацию в альтернативное имя субъекта.
      
6. На вкладке Требования выдачи выберите Указанного числа авторизованных подписей.
   1. Оставьте для поля Указанного числа авторизованных подписей значение 1.
   2. Оставьте для поля Тип политики , необходимого для подписи, значение Политика применения.
   3. Измените Политика применения на Агент запроса сертификата.
      
7. Нажмите OK, чтобы опубликовать этот шаблон.
8. Чтобы разрешить выпуск обоих шаблонов, правой кнопкой мыши нажмите Шаблоны сертификатов в MMC Центра сертификации и выберите Выдаваемый шаблон сертификата.
   
9. Выберите два новых шаблона сертификатов, которые вы создали.
   
10. Нажмите OK.

В этом разделе описаны изменения, необходимые Dell Security Management Server для работы функции смарт-карты в среде предзагрузочной аутентификации.

Администратор должен импортировать корневой ИС и изменить политику. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Импорт корневого источника сертификатов

Поскольку сертификаты смарт-карт подписаны внутренним источником сертификатов (ИС) в данном руководстве, мы должны убедиться, что корневой источник сертификатов и все посредники (не указанные в данном руководстве) импортированы в цепочку сертификатов.

1. Экспортируйте сертификат корневого ИС из Microsoft Management Console (MMC).
   1. Запустите утилиту MMC.
   2. Нажмите Файл.
   3. Нажмите Добавить или удалить оснастку.
   4. Выберите Сертификаты.
   5. Нажмите Add.
   6. Выберите радиальную учетную запись компьютера.
   7. Нажмите Finish.
   8. Нажмите OK.
      
   9. Разверните раздел Сертификаты.
   10. Разверните раздел Доверенные корневые центры сертификации.
   11. Выберите Сертификаты.
   12. Правой кнопкой мыши нажмите на сертификат, выданный ИС домена. Они синхронизируются с групповой политикой.
       
   13. Выберите Все задачи и нажмите Экспорт.
   14. Экспортируйте сертификат как DER encoded binary X.509 (.CER).
   15. Сохраните его и запишите расположение, поскольку оно будет использоваться в ближайшее время.
2. Импортируйте этот сертификат в доверенные сертификаты хранилища ключей Java.
   1. Откройте командную строку администрирования.
   2. Измените путь, чтобы разрешить выполнение команд keytool, введя Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.8\bin" и введите клавишу Enter.
      Примечание. Для Dell Security Management Server версии 9.2 и более ранних введите Set path=%PATH%;"C:\Program Files\Dell\Java Runtime\jre1.7\bin" и затем нажмите клавишу Enter.
   3. Перейдите в каталог conf Security Server, введя %INSTALLDIR%\Enterprise Edition\Security Server\conf\ и затем нажмите клавишу Enter.
      
   4. Импортируйте .cer файл, экспортированный на шаге 1, в хранилище ключей Java (cacerts), введя Keytool –import –alias RootCA –file C:\exportedroot.cer –keystore cacerts и затем нажмите клавишу Enter.
      
   5. Введите пароль файла cacerts.
   6. Примите запрос на доверие сертификату, введя Y.
      
   7. Перезапустите сервер безопасности, чтобы завершить импорт.

Изменение политики

Выберите версию сервера Dell Data Security для соответствующих конфигураций политики. Для получения дополнительной информации о версиях см. статью Как определить версию Dell Data Security / Dell Data Protection Server.

v9.8.0 и более поздние версии

Чтобы изменить политику с целью разрешения смарт-карт для механизма аутентификации PBA, выполните следующие действия.

1. Откройте консоль администрирования Dell Data Security.
   Примечание. Для получения дополнительной информации см. статью Как настроить консоль администрирования в Dell Data Security / Dell Data Protection Server.
2. Войдите в систему как пользователь, который может изменять и применять политику.
3. Перейдите к заполнению, где необходимо внести изменения в политику. Например, выберите Populations и нажмите Enterprise.
4. Выберите вкладку Security Policies.
   
5. Выберите Pre-Boot Authentication.
6. Измените метод аутентификации SED с «Password» на Smartcard.
   Примечание. Убедитесь, что для политики самошифруемых дисков установлено значение On , чтобы включить эту функцию для всего предприятия.
   
   
7. Сохраните и подтвердите политики.
   Примечание. Дополнительные сведения см. в статье Как подтверждать политики для Dell Data Security / Dell Data Protection Server.

v9.2.0–9.7.0

Чтобы изменить политику с целью разрешения смарт-карт для механизма аутентификации PBA, выполните следующие действия.

1. Откройте консоль администрирования Dell Data Protection.
   Примечание. Для получения дополнительной информации см. статью Как настроить консоль администрирования в Dell Data Security / Dell Data Protection Server.
2. Войдите в систему как пользователь, который может изменять и применять политику.
3. Перейдите к заполнению, где необходимо внести изменения в политику. Например, выберите Populations и нажмите Enterprise.
4. Выберите вкладку Security Policies.
   
5. Выберите Self-Encrypting Drive (SED)
6. Измените метод аутентификации SED с «Password» на Smartcard.
   Примечание. Убедитесь, что для политики самошифруемых дисков установлено значение On , чтобы включить эту функцию для всего предприятия.
   
   
7. Сохраните и подтвердите политики.
   Примечание. Дополнительные сведения см. в статье Как подтверждать политики для Dell Data Security / Dell Data Protection Server.

v8.0.0–9.1.5

Чтобы изменить политику с целью разрешения смарт-карт для механизма аутентификации PBA, выполните следующие действия.

1. Измените политику, чтобы смарт-карты могли распознаваться как механизм аутентификации для PBA.
   1. Откройте консоль удаленного управления.
      Примечание. Для получения дополнительной информации см. статью Как настроить консоль администрирования в Dell Data Security / Dell Data Protection Server.
   2. Войдите в систему как пользователь, который может изменять и применять политику.
   3. Перейдите в раздел Enterprise.
   4. Нажмите Security Policies в верхней части экрана.
   5. Переопределение (недоступно в Virtual Edition).
   6. В раскрывающемся списке «Policy Category» выберите Self-Encrypting Drives.
      
   7. Разверните раздел SED Administration.
   8. Измените метод аутентификации SED с «Password» на Smartcard.
      
      Примечание. Убедитесь, что для параметров Enable SED Management и Activate PBA установлено значение True, чтобы активировать их во всем предприятии.
   9. Сохраните эту политику.
   10. Нажмите Commit Policies слева.
   11. Нажмите Apply Changes.

Смарт-карты по умолчанию пусты. Каждая смарт-карта должна иметь сертификат, назначенный для добавления сертификата с целью аутентификации. Сертификаты обычно назначаются смарт-картам через промежуточное приложение. В приведенных ниже примерах описывается импорт с помощью устаревшего ПО Charismathics для смарт-карт корпоративного класса и VersaSec для смарт-карт на основе проверки персональных данных (PIV). После назначения сертификата администратору необходимо включить единый вход в Windows с помощью смарт-карт. Выберите соответствующую процедуру, чтобы ознакомиться с дополнительными сведениями.

Charismathics

Для использования смарт-карт требуется агент регистрации, который может назначать сертификаты устройству, а также промежуточное ПО, которое преобразует информацию о сертификатах, поступающую из Центра сертификации Microsoft, в то, что может использовать карта.

Большинство смарт-карт не имеют предустановленных токенов безопасности. Администратор должен создать токен безопасности на новой смарт-карте, добавить сертификат для агента регистрации, а затем зарегистрировать пользователей и Push-сертификаты. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Создание токена безопасности на новой смарт-карте

1. Откройте поставщика служб шифрования (CSP).
2. При вставке карты без активного токена извлекается основная информация.
   
3. После создания токена безопасности необходимо убедиться, что он установлен для профиля PKCS15.
   
4. После создания этого сертификата будет доступно множество дополнительных параметров, и вы сможете правильно импортировать сертификат.
   

Добавление сертификата для агента регистрации

1. Откройте Microsoft Management Console (MMC).
2. Нажмите Файл.
3. Нажмите Добавить или удалить оснастку.
4. Выберите Сертификаты.
5. Нажмите Add.
6. Выберите переключатель для Моя учетная запись пользователя.
7. Нажмите Finish.
8. Нажмите OK.
9. Разверните раздел Сертификаты — текущий пользователь.
10. Разверните Личные.
11. Разверните раздел Сертификаты, если он существует.
12. Нажмите правой кнопкой мыши на центральную панель, выберите Все задачи и затем Запросить новый сертификат
    
13. Нажмите Next.
14. Не отменяйте выбор параметра Политика регистрации Active Directory.
15. Нажмите Next.
16. Выберите созданный и опубликованный ранее сертификат агента регистрации.
    
17. Нажмите Регистрация.
18. По завершении нажмите Готово.

Регистрация пользователей и Push-сертификатов

Теперь можно зарегистрировать пользователей в созданной и поместить сертификаты в карту с помощью MMC сертификата.

Регистрация пользователей и push-сертификатов

1. Откройте Microsoft Management Console (MMC).
2. Нажмите Файл.
3. Нажмите Добавить или удалить оснастку.
4. Выберите Сертификаты.
5. Нажмите Add.
6. Выберите переключатель для Моя учетная запись пользователя.
7. Нажмите Finish.
8. Нажмите OK.
9. Разверните раздел Сертификаты — текущий пользователь.
10. Разверните Личные.
11. Разверните раздел Сертификаты, если он существует.
12. Нажмите правой кнопкой мыши на центральную панель, выберите Все задачи, Дополнительные операции, а затем Зарегистрироваться от имени.
    
13. Нажмите Next.
14. Не отменяйте выбор параметра Политика регистрации Active Directory.
15. Нажмите Next.
16. Нажмите Browse.
17. Выберите созданный ранее сертификат агента регистрации и нажмите OK.
    
18. Нажмите Next.
19. Выберите переключатель для шаблона пользователя смарт-карты, созданного ранее.
    
20. Откройте раскрывающееся меню Сведения и нажмите Свойства.
    
21. Измените поставщика служб шифрования на приложение, которое вы используете. В нашем случае это Charismathics.
    
22. Нажмите OK.
23. Нажмите Далее.
24. Нажмите Обзор, а затем измените Расположения для извлечения из домена.
    
    
    
25. Введите имя пользователя для регистрации.
26. Нажмите Проверить имена, чтобы проверить пользователя.
    
27. Нажмите OK.
28. Нажмите Регистрация.
29. Следуйте подсказкам.
    
    
    
    
    
30. Нажмите Следующий пользователь, чтобы зарегистрировать других пользователей тем же способом, или нажмите Закрыть, чтобы продолжить.

Теперь смарт-карты можно использовать для аутентификации PBA.

VersaSec

VersaSec использует ранее созданные сертификаты для регистрации новых. Этот процесс использует шаблоны сертификатов, созданные с помощью Active Directory, чтобы позволить сотруднику создавать сертификаты входа для других сотрудников, которые будут использоваться во время сеанса входа. Администратор должен завершить регистрацию сертификата, экспортировать сертификат, а затем назначить сертификат смарт-карте. Выберите нужную процедуру, чтобы ознакомиться с дополнительными сведениями.

Регистрация сертификата

Чтобы зарегистрировать сертификат, выполните следующие действия.

1. Откройте Microsoft Management Console (MMC) с правами администратора, назначив сертификаты на устройстве, подключенном к домену, где настроены шаблоны сертификатов.
   
2. Выберите значение для параметра Добавить или удалить оснастку.
   
3. Выберите Сертификаты и нажмите Добавить.
   
4. Убедитесь, что выбрано значение для параметра Моя учетная запись пользователя.
   
5. Выберите OK, чтобы загрузить выбранные оснастки.
   
6. Разверните панель Сертификаты — Текущий пользователь, правой кнопкой мыши нажмите на панель справа, а затем выберите Все задачи, Запросить новый сертификат.
   
7. Убедитесь, что выбрано значение для параметра Политика регистрации Active Directory, а затем нажмите Далее.
   
8. Выберите шаблон сертификата, который позволяет создать агента регистрации для текущего пользователя, затем нажмите Регистрация. В данном примере используется ранее созданный шаблон регистрации агента регистрации.
   
9. После завершения регистрации нажмите Готово.
   
10. С помощью сертификата агента регистрации создайте сертификат пользователя смарт-карты, основанный на предварительно созданном шаблоне, выбрав папку Сертификаты на левой панели. Выберите Все задачи, Дополнительные операции, а затем Зарегистрироваться от имени.
    
11. Убедитесь, что выбрано значение для параметра Политика регистрации Active Directory, а затем нажмите Далее.
    
12. Выберите Обзор при запросе сертификата агента регистрации.
    
13. Убедитесь, что выбран соответствующий сертификат, а затем нажмите OK.
    
14. Убедитесь, что нужный пользователь определен, и нажмите Далее.
    
15. Выберите шаблон, предварительно созданный для регистрации пользователя смарт-карты, и нажмите Далее. В данном примере используется шаблон, который называется Smartcard User Enrollment.
    
16. Выберите Обзор, чтобы найти нужного пользователя.
    
17. Измените расположение, чтобы выполнить поиск по всему каталогу, нажав Расположение.
    
18. Выберите соответствующий домен или организационную единицу и нажмите OK.
    
19. Введите пользователя, для которого необходимо создать сертификат смарт-карты, затем выберите Проверить имена, чтобы проверить основное имя пользователя (UPN).
    
20. Если найдено несколько пользователей, подтвердите выбор нужного пользователя и нажмите OK.
    
21. Подтвердите информацию о пользователе и нажмите OK.
    
22. Снова подтвердите информацию о пользователе и нажмите Регистрация.
    
23. Регистрация выполняется быстро. Выберите Следующий пользователь , чтобы создать другой сертификат пользователя, или нажмите Закрыть , чтобы завершить процесс создания сертификата. Дополнительные сертификаты для других пользователей можно создать в любое время в будущем.
    

Экспорт сертификатов

Сертификаты сначала экспортируются в формате PKCS12 для назначения смарт-картам. Сертификаты должны включать закрытый ключ и полную цепочку сертификатов.

Чтобы экспортировать сертификат, выполните следующие действия.

1. Откройте Microsoft Management Console (MMC) с правами администратора, который назначает сертификаты на устройстве, подключенном к домену, где настроены шаблоны сертификатов.
   
2. Выберите значение для параметра Добавить или удалить оснастку.
   
3. Выберите Сертификат и нажмите Добавить.
   
4. Убедитесь, что выбрано значение для параметра Моя учетная запись пользователя.
   
5. Выберите OK, чтобы загрузить выбранные оснастки.
   
6. Разверните панель Сертификаты — Текущий пользователь, затем правой кнопкой мыши нажмите на пользователя для экспорта. Выберите Все задачи и нажмите Экспорт.
   
7. Выберите Да, экспортировать закрытый ключ и нажмите Далее.
   
8. Снимите флажок Включить конфиденциальность сертификата, выберите Экспортировать все расширенные свойства и нажмите Далее.
   
9. Выберите значение для параметра Пароль, назначьте безопасный пароль для сертификата и нажмите Далее.
   
   Примечание. Не изменяйте параметр «Шифрование».
10. Назначьте имя файла и расположение, затем нажмите Далее.
    
11. Подтвердите сведения, затем нажмите Готово, чтобы завершить экспорт.
    

Назначение сертификата смарт-карте

Установите и загрузите ПО VersaSec и любое промежуточное ПО для администрирования, которое может потребоваться для выделяемых смарт-карт.

Чтобы назначить сертификат смарт-карте, выполните следующие действия.

1. Запустите агент VersaSec и вставьте смарт-карту.
2. Перейдите в раздел Card Actions - Certificates and Keys, а затем выберите Import.
   
3. Перейдите к экспортированному сертификату и выберите его для привязки к смарт-карте. Введите пароль сертификата в поле Password, затем выберите Import.
   
4. Введите PIN-код пользователя при появлении запроса на ввод секретного кода и нажмите OK.
   
5. После завершения записи сертификат появится в списке.
   
6. После записи на смарт-карту всех сертификатов для всех учетных записей их можно использовать для входа в Windows или в среду предзагрузочной аутентификации Dell.

Включение единого входа в Windows с помощью смарт-карт

Процесс включения единого входа в Windows с помощью смарт-карт различается в зависимости от используемой версии Dell Encryption Enterprise. Выберите нужную версию, чтобы ознакомиться с дополнительными сведениями. Для получения информации о версиях см. статью Как определить версию Dell Encryption Enterprise или Dell Encryption Personal.

Dell Encryption Enterprise, v8.18 и более поздние версии

Менять конечные точки не нужно. После настройки политики с помощью консоли управления все изменения конечных точек применяются автоматически.

Для смарт-карт может потребоваться промежуточное ПО. Проконсультируйтесь с поставщиком смарт-карт, чтобы определить, нужно ли устанавливать промежуточное решение на каждой конечной точке для аутентификации в Windows.

Dell Encryption Enterprise, v8.17.2 и более ранние версии

Клиентские компьютеры по умолчанию не будут выполнять единый вход. Для этого необходимо добавить раздел реестра.

Раздел реестра:

[HKLM\SOFTWARE\DigitalPersona\Policies\Default\Smartcards]
"MSSmartcardSupport"=dword:1
0 or no key = Smart Card Support Off, 1 = Smart Card Support On  

1. Откройте Редактор реестра.
2. Разверните раздел HKEY Local Machine.
3. Разверните раздел Software.
4. Разверните раздел DigitalPersona.
5. Разверните раздел Policies.
6. Разверните раздел Default.
7. Создайте ключ и присвойте ему имя Smartcards.
   
8. Создайте DWORD и присвойте ему имя MSSmartcardSupport.
   
9. Установите «Значение», равное 1.