Вопросы Теги

Как управлять смарт-картами для входа в Windows (инвентаризация, сертификаты, истечение срока действия и т. Д.)?

Мы внедряем смарт-карты для соответствия двухформной аутентификации с использованием встроенной поддержки в Windows + AD, с использованием карт YubiKeys и Gemalto .NET.

Как администратор, я может выдавать новые сертификаты для пользователей и устанавливать такие сертификаты на смарт-карты без дополнительных инструментов сторонних производителей, а просто с текущей встроенной поддержкой в ​​Windows. Мне нужен инструмент управления, который мог бы отслеживать мои карты и помогать управлять сертификатами в них, датой истечения срока действия, политиками паролей и т.д.

Я не смог найти на рынке никакого решения, кроме Versasec. Хотя инструмент versasec делает все, что мне нужно, их продажи и поддержка ужасны, игнорируя уродливый интерфейс). Другие компании предоставляют только инструменты для инфраструктуры, нацеленные на физический доступ и тому подобное, но пока они не поддерживают логический доступ для рабочих станций Windows.

Любые советы будут оценены.

1
задан 9 March 2017 в 22:41
1 ответ

Я не уверен насчет управления YubiKeys , однако относительно линейки продуктов Gemalto вы должны сначала знать, что линия IDPrime .NET была прекращена, а Продуктовая линейка IDPrime MD будет заменена. Per Gemalto :

Сообщаем вам, что объявляем об окончании продаж следующих смарт-карт: 

 IDPrime .Net
IDPrime .Net Bio

Ключевые даты: 

 Контрольная дата

Last-Time-Buy (LTB) 29 сентября 2017 г.
Окончание продажи (EOS) 30 сентября 2017 г.
Окончание срока службы (EOL) 30 сентября 2018 г.

С управлением смарт-картами все сводится к объему. Если у вас большое количество карт, имеет смысл инвестировать в CMS (систему управления картами), такую ​​как Microsoft FIM, Verasec vSEC: CMS, Gemalto IDAdmin 200 и т. Д. Для небольших развертываний действительно есть только три точки, которые нужно решить: все может быть достигнуто с помощью свободно доступных инструментов.

  1. ПИН-код администратора - на картах Gemalto это 24-байтовое значение, установленное по умолчанию на 0x00. Инструмент Verasec vSEC: CMS серии K позволит изменить это значение на случайное. Таким образом, если смарт-карта потеряна, сертификаты не будут восстановлены, поскольку разрешены только 5 неудачных попыток входа администратора. Обязательно надежно задокументируйте новый ПИН-код администратора, поскольку он понадобится для выполнения следующих задач:
    1. Разблокировать PIN-код пользователя
    2. Установить политику PIN-кода пользователя
    3. Другие действия администратора (сброс карты, управление другими ролями и т. Д.)
  2. Управление картами - это действие в основном включает настройку политик PIN-кодов пользователей, может распространяться на управление другими ролями пользователей. Verasec vSEC: CMS K-series делает достаточную работу, хотя Minidriver Manager от Gemalto гораздо более всеобъемлющий. Просто не забудьте добавить соответствующий PIN-код администратора в файл MD_Manager.ini , чтобы вы могли войти в систему с ролью администратора. Gemalto Minidriver Manager может выполнять все функции управления, кроме изменения PIN-кода администратора.
  3. Разблокировать PIN-код пользователя - Verasec vSEC: CMS серии K предлагает эту функцию, а Gemalto предлагает инструмент под названием Response Calculator.
0
ответ дан 4 December 2019 в 05:07