Двуфакторен автентикация на потребителите - etoken - adminskie skazki

Колкото по-висока от стойността на информацията, до която потребителят има достъп до тях, толкова по-добре информацията е защитена. Най-малко трябва да бъде. На практика много често в областта на разграничаване на правата на потребителите - една бъркотия. Първата стъпка към възстановяване на задание, за уникален за всеки потребителски акаунт на системата и да се елиминира възможността за влизане в системата под чуждо име. На първо място, да кажем на потребителите за отстраняване на празни пароли (ако в този момент все още не са забранени политиката) и потребители с честни лица излагат пароли като "1234" или "година на раждане". След това задайте на изискванията на политиката за сложност парола (например шест знака, човек трябва да има различни регистри - например, aB1234) - потребители като екип за писане на пароли на парчета хартия и мухъл върху мониторите на. Това изчерпва възможностите на метода: "Аз знам" за удостоверяване на потребителите. Друг вариант - използване на метода ", че имам" - отпечатък, ретината (тя е твърде екзотично), или устройство. Пример за такова устройство са семейство от продукти eToken българска фирма Аладин.

Знаците могат да бъдат използвани не само за безопасно влизане в организацията, но също така и за да заключите компютъра, докато потребителят е далеч. Най-просто го направи в организациите, които използват RFID тагове за отваряне на ключалките на вратите. Ти просто трябва да си поръчате жетоните с вграден етикет. В този случай потребителят, оставяйки компютърът ви ще бъде принуден да вдигне маркера с тях, което автоматично ще доведе до блокиране на работната станция (с подходящата настройка Group Policy).

Така че, за да влезете на организацията в областта с помощта на маркер трябва да бъде:

• Отваряне на сертифициращия орган на домейн контролер;
• Инсталирайте безплатен софтуер маркер (eToken PKI клиент) на компютрите на потребителите;
• Инициализира жетони;
• Извършване на конфигурационните жетони.

Ако входът е организацията на работната група трябва да:

• Закупен за eToken Windows Logon (лиценз струва около 300 рубли за организацията);
• Инсталирайте безплатен софтуер маркер (eToken PKI клиент), eToken Windows Logon потребител на машината;
• Инициализира жетони;
• Конфигуриране на маркера за да влезете в всяка отделна машина (конфигурация ще е валидна само за тази машина).

Внедряването на CA.

Инсталиране на софтуер на клиентски машини

Изтеглете клиент продукт eToken PKI от производителя. За да направите това, отидете на раздела за изтегляне. Внимание! Не трябва да използвате продукта RTE - това е стара версия, чийто формат kriptokonteynera знак не е съвместим с новия клон PKI клиента. В първата версия на PKI клиент (4.5) са били малки проблеми (глоби, свързани с интерфейса, както и изтичане на паметта, когато разгъната интерфейс), който не попречи да го използва в пълен обем на. Инсталиране на продукта не причинява проблеми. В действителност, само трябва да изберете езика на потребителския интерфейс. Форматът на инсталационния пакет (MSI) ви позволява да правите отдалечено инсталиране на продукт на снимачната площадка на машини на домейни. В работна група, вие също трябва да инсталирате eToken Winlogon

Инициализация жетони.

Инициализация се извършва с помощта на клиента eToken PKI. Коприна, щракнете с десния бутон върху прилагането на системния трей икона и изберете опцията "Отворени свойства eToken". В прозореца, който се отваря, кликнете "Advanced" и след това изберете елементите в дървото свързване към компютър, знак, и натиснете бутона "Format" от контекстното меню.

Можете също да натиснете "на eToken инициализиране". В прозореца, който се отваря, въведете знак името (аз използвам PODRAZDELENIE_OTDEL_INITSIALY за уведомяване), потребителски ПИН, броят на неуспешните опити за въвеждане на ПИН код за заключване на устройството. Можете също така да въведете административна парола, която не е позволено да въведете потребителско име, позволете все пак отключване знак или да направите своята повторна инициализация. Административният парола (колкото по-дълго, толкова по-добре), можете да зададете един и същ за всички жетони.

Конфигурация символите за домейн.

Всички потребителят може да издава знак. Знакът ще бъде валиден за да влезете в друг домейн на кола.

Конфигурация знак работна група.

Winlogon приложение замества стандартния вход интерфейс библиотека в прозорци msgina.dll.

Отваряне на профил Мениджър "Програма-eToken-eToken Windows Logon-профил Creation Wizard», натиснете "Next". В следващия прозорец можете да изберете потребителски имена в системата и мрежата компютър, за които означение ще бъдат валидни. Ако компютърът е в домейн, списък на «Влезте» ще се състои от две точки, съответния параграф от името на домейна, за да въведете името на домейна и името на компютъра в мрежата - да влезете на местно ниво. В следващия прозорец можете да изберете типа на удостоверяване - еднопосочен (да влезете в системата, за да вмъкнете символа е достатъчно) или двуфакторна (в допълнение трябва да наберете ПИН знак). След това трябва да посочите парола, която ще се съхраняват в паметта на логика и представен на системата по време на зареждане на потребителското име е посочено за първата стъпка. В този прозорец, има и възможност за замяна на паролата на текущия потребител се генерира автоматично от програмата (дължина на паролата може да се регулира). В зависимост от начина на потребителя работата на помощника, може да се наложи да въведете текущата паролата на потребителя в системата. След като въведете паролата, трябва да натиснете бутона "Next", и в следващия прозорец - "Край".
В прозореца, вие трябва да изберете маркер, който ще бъде написан профил Windows Logon и въведете ПИН-кода на причина, и натиснете "ОК".

Забележки: