Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



21.09.2018

Kolor razy 6

Kyocera ECOSYS i TASKalfa
18.09.2018

Na ataki piątej generacji

Check Point 23900
14.09.2018

UHD dla pro

Samsung UJ59
11.09.2018

Ochrona dla firm

ESET Security Management Center
07.09.2018

Skanowanie podatności

Beyond Security AVDS
04.09.2018

Open source do automatyzacji...

Red Hat Ansible Engine 2.6
28.08.2018

CPU dla stacji roboczych

Intel Xeon E-2100
24.08.2018

Macierze do DC

Infortrend EonStor GS 5000
21.08.2018

Elastyczne PoE

Netgear GS11xxx

Wirtualne karty inteligentne (smart card)

Data publikacji: 29-08-2017 Autor: Jacek Światowiak

Wykorzystanie komponentów infrastruktury klucza publicznego, w tym kryptografii asymetrycznej, umożliwia znaczne zwiększenie bezpieczeństwa elementów systemów informatycznych współczesnych środowisk IT.

Możliwość dwuskładnikowego uwierzytelniania do stacji roboczych, serwerów lub usług za pośrednictwem karty inteligentnej pojawiła się w systemach Microsoft wraz z Windows 2000. Jednak poza olbrzymimi zaletami rozwiązanie to miało jedną istotną wadę – nie wszystkie urządzenia były wyposażone w czytniki kart inteligentnych. Dlatego wprowadzając na rynek systemy Windows 8.1 i Windows Server 2012 R2, producent umożliwił emulację tego typu kart za pośrednictwem modułu TPM (Trusted Platform Module) w wersjach 1.2 lub 2.0. Niniejszy artykuł omawia zagadnienia tworzenia i pracy z wirtualnymi smart kartami, które mają identyczne własności jak karty fizyczne – z jednym wyjątkiem – samej karty inteligentnej nie można wyjąć z wirtualnego czytnika i działają one tak, jakby były zainstalowane na stałe.

> WDROŻENIE ZABEZPIECZENIA. WYMAGANIA WSTĘPNE

Proces wdrożenia wirtualnej smart karty należy podzielić na kilka następujących po sobie etapów, takich jak:

 

  • włączenie i konfiguracja modułu TPM;
  • konfiguracja szablonu certyfikatu wykorzystywanego dla certyfikatów zapisywanych na wirtualnej smart karcie;
  • utworzenie i personalizacja wirtualnej smart karty;
  • wygenerowanie certyfikatu i zapisanie go na wirtualnej smart karcie;
  • praca z certyfikatami zapisanymi na wirtualnej smart karcie;
  • odnowienie oraz usunięcie certyfikatu z wirtualnej smart karty;
  • usunięcie wirtualnej smart karty.

 

Aby możliwa była praca z wirtualnymi kartami inteligentnymi, stacja robocza lub serwer muszą posiadać sprzętowy lub emulowany moduł TPM w wersji 1.2 lub 2.0. W systemach Windows 10 lub Windows Server 2016 emulację modułu TPM 2.0 oferuje Hyper-V. Na rysunku 1 pokazano emulowany moduł TPM 2.0 oraz emulowane urządzenie, czyli czytnik karty inteligentnej (Smart card reader) wraz z wirtualną kartą inteligentną o nazwie TESTOWACVSC. Analogicznie jak praca z kartami fizycznymi, praca z wirtualnymi smart kartami wymaga wdrożonej korporacyjnej infrastruktury klucza publicznego, która pozwala na wystawianie certyfikatów w środowisku Windows.

Aby taki moduł TPM wykorzystywać, trzeba go wstępnie zainicjalizować (opcje Enable i Activate), a następnie wykonać operację przejęcia na własność (Take/Set ownership). Obie operacje można wykonać, korzystając z interfejsu graficznego (konsola MMC plus przystawka zarządzanie modułem TPM – tpm.msc) lub za pomocą poleceń PowerShella. Na rysunku 2 zaprezentowano zainicjowany już moduł TPM.

> KONFIGURACJA SZABLONU CERTYFIKATU

Aby wygenerować certyfikat, który zostanie zapisany na wirtualnej karcie, jednostka certyfikująca musi mieć dostęp do szablonu certyfikatu wykorzystywanego dla certyfikatów zapisywanych na wirtualnej smart karcie, w którym włączone są rozszerzenia EKU (Extension Key Usage): Smart Card Logon oraz Client Authentication. Może to być ten sam szablon certyfikatu, co dla fizycznych kart inteligentnych. W artykule nie będzie omawiana procedura zarządzania szablonami certyfikatów ze względu na brak konieczności ich modyfikowania.

> UTWORZENIE I PERSONALIZACJA WIRTUALNEJ SMART KARTY

Kolejny krok polega na utworzeniu i personalizacji wirtualnej karty inteligentnej. Systemy Windows nie umożliwiają wykonania tych czynności za pomocą interfejsu graficznego – proces utworzenia i personalizacji należy przeprowadzić za pomocą narzędzia uruchamianego z linii poleceń tpmvscmgr.exe.

[...]

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: MCSE+M, MCSE+S, 20*MCTS, 9*MCITP, MCT, MSA, MCSA 2008, 2012, Windows 7, MCSE Server Infrastructure, Communication, Messaging. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"