«К 2008 году количество применяемых USB-ключей приблизится к количеству других средств аутентификации»
IDC 2004 год

Введение

В текущее время в связи с широким распространением компов все почаще приходится думать о безопасности обрабатываемой инфы. Первым шагом в обеспечении безопасности является аутентификация легитимного юзера.
В большинстве случаев в качестве средств аутентификации употребляется пароль. К тому же более 60% юзеров, как указывает практика, в большинстве случаев употребляет одни и те же пароли к разным системам. Не стоит и гласить, что это значительно понижает уровень безопасности. Что делать?
На мой взор, одним из вариантов решения препядствия будет внедрение аппаратных ключей аутентификации. Разглядим их применение подробнее на примере USB-ключей от конторы Aladdin.

Что такое eToken?

eToken (рис. 1) – персональное устройство для аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронно-цифровой подписью (ЭЦП). eToken выпускается в виде:

eToken PRO – USB-ключ, позволяющий создавать двухфакторную аутентификацию. Доступен в версиях 32К и 64К.
eToken NG-OTP – гибрид USB-ключа и устройства, генерирующего разовые пароли (One Time Password, OTP). Доступен в версиях 32К и 64К.
Смарт-карта eToken PRO – устройство, выполняющее те же функции, что и USB-ключ, но имеющее форму обыкновенной кредитной карты. Доступна в версиях 32К и 64К.

В предстоящем мы будем гласить конкретно о USB-ключах, которые подключаются впрямую к USB порту компьютера и, в отличие от смарт-карты, не просит наличия специального считывателя.
eToken обладает защищенной энергонезависимой памятью и употребляется для хранения паролей, сертификатов и других скрытых данных.

Набросок 1 eToken Pro 64k

Устройство eToken

Составляющие технологии eToken PRO:

Чип смарт-карты Infineon SLE66CX322P либо SLE66CX642P (EEPROM ёмкостью 32 либо 64 КБ соответственно);
ОС смарт-карты Siemens CardOS V4.2;
Аппаратно реализованные методы: RSA 1024bit, DES, Triple-DES 168bit, SHA-1, MAC, Retail-MAC, HMAC-SHA1;
Аппаратный датчик случайных чисел;
Контроллер USB интерфейса;
Источник питания;
Корпус из твёрдого пластика, не поддающийся необнаружимому вскрытию.

В устройство eToken NG-OTP дополнительно включены последующие составляющие:

Генератор разовых паролей;
Кнопка для их генерации;
ЖК-дисплей;

Поддержка интерфейсов:

Microsoft CryptoAPI;
PKCS#11.

PIN-код

Для получения доступа к данным, хранящимся в памяти eToken, нужно ввести PIN-код (Personal Identification Number). В PIN-коде не рекомендуется использовать пробелы и российские буковкы. При всем этом PIN-код должен удовлетворять аспектам свойства, данным в файле %systemroot%system32etcpass.ini.
Редактирование этого файла, содержащего аспекты свойства PIN-кода, осуществляется при помощи утилиты eToken Properties.

Права доступа к eToken

Зависимо от модели eToken и характеристик, избранных при форматировании, можно выделить четыре типа прав доступа к eToken:

гостевой – возможность просматривать объекты в открытой области памяти; возможность получения из системной области памяти общей инфы относительно eToken, включающей имя eToken, идентификаторы и некие другие характеристики. При гостевом доступе познание PIN-кода не непременно;
пользовательский – право просматривать, изменять и удалять объекты в закрытой, открытой и свободной областях памяти; возможность получения общей инфы относительно eToken; право поменять PIN-код и переименовывать eToken; право настраивать характеристики кэширования содержания закрытой области памяти и дополнительной защиты закрытых ключей паролем (при отсутствии пароля админа либо с разрешения админа), право просмотра и удаления сертификатов в хранилище eToken и главных контейнеров RSA;
администраторский – право поменять PIN-код юзера, не зная его; право смены пароля админа; право настраивать характеристики кэширования содержания закрытой области памяти и дополнительной защиты закрытых ключей паролем, также возможность делать эти опции доступными в пользовательском режиме;
инициализационный – право форматировать eToken PRO.

К eToken R2 относятся только 1-ые два типа прав, к eToken PRO и eToken NG-OTP – все четыре.
Администраторский доступ к eToken PRO может быть произведен только после правильного ввода пароля админа. Если же в процессе форматирования пароль админа не задан, то обратиться с правами админа нельзя.

Программное обеспечение для eToken

Общие сведения

eToken Run Time Environment 3.65
eToken Run Time Environment (eToken RTE) – набор драйверов eToken. В состав данного пакета программного обеспечения заходит утилита «Характеристики eToken» (eToken Properties).
При помощи данной утилиты можно:

настраивать характеристики eToken и его драйверов;
просматривать общую информацию относительно eToken;
импортировать, просматривать и удалять сертификаты (кроме сертификатов из хранилища eTokenEx) и главные контейнеры RSA;
форматировать eToken PRO и eToken NG-OTP;
настраивать аспекты свойства PIN-кодов.

Для установки данного программного обеспечения нужны права локального админа. Следует держать в голове, что до установки eToken RTE нельзя подключать ключ eToken.
Установку программного обеспечения нужно проводить в последующем порядке:

eToken RTE 3.65;
eToken RTE 3.65 RUI (русификация интерфейса);
eToken RTX.

Установка и удаление на локальном компьютере eToken RTE 3.65

Установка

Набросок 2 eToken Run Time Environment 3.65 Setup

В окне (рис. 3) нужно прочитать лицензионное соглашение и согласиться с ним.

Набросок 3 End-User License Agreement

Если вы не согласны с критериями лицензионного соглашения, то нажмите кнопку «Cancel» и тем оборвите процесс установки.
Если вы согласны с лицензионным соглашением, то изберите пункт «I accept the license agreement» и нажмите кнопку «Next». На дисплее вы увидите последующее окно (рис. 4):

Набросок 4 Ready to Install the Application

Установка займет некое время.
По окончании процесса установки (рис. 5) нажмите кнопку «Finish».

Набросок 5 eToken Run Time Environment 3.65 has been successfully installed
В конце установки может потребоваться перезагрузка компьютера.

eToken RTE 3.65 RUI

Установка
Для установки eToken RTE 3.65 RUI нужно запустить программку установки.

Набросок 6 Установка eToken 3.65 RUI
В показавшемся окне (рис. 6) нажмите кнопку «Дальше».

Набросок 7 Окончание установки Russian User Interface

Внедрение командной строчки

Для установки и удаления eToken RTE 3.65, eToken RTE 3.65 RUI и eToken RTX можно использовать командную строчку.
Примеры команд:

msiexec /qn /i – установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме без диалоговых окон с параметрами по дефлоту;
msiexec /qb /i – установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме с параметрами по дефлоту и отображением процесса установки на дисплее;
/q – установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме без диалоговых окон с параметрами по дефлоту;
/qb – установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме с параметрами по дефлоту и отображением процесса установки на дисплее;
msiexec /qn /x – удаление eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме без диалоговых окон;
msiexec /qb /x – удаление eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме с отображением процесса удаления на дисплее.

1-ое подсоединение USB-ключа eToken к компу

Если на компьютере установлен eToken RTE 3.65, подключите eToken к порту USB либо к удлинительному кабелю. После чего начнётся процесс обработки нового оборудования, который может занять некое время. По окончании процесса обработки нового оборудования на eToken зажгется световой индикатор.

Утилита «Характеристики eToken»

Набросок 8 Окно программки «Характеристики eToken»

Утилита «Характеристики eToken» позволяет делать главные операции по управлению токенами, такие как смена паролей, просмотр инфы и сертификатов, расположенных в памяти eToken. Не считая того, при помощи утилиты «Характеристики eToken» можно стремительно и просто переносить сертификаты меж компом и eToken, также импортировать ключи в память eToken.
Кнопка «Разблокировать» нужна, если юзер запамятовал собственный PIN-код, и не может придти к админу eToken (к примеру, юзер находится в командировке). Обратившись к админу по e-mail, юзер сумеет получить для этого eToken от админа шестнадцатиричный запрос, сформированный на основании данных, хранящихся в базе TMS, внеся который в поле «ответ» юзер получит доступ на замену PIN-кода.

Набросок 9 Вкладка компьютер

Смена PIN-кода осуществляется согласно рис. 10:

Набросок 10 Смена PIN-кода
При смене PIN-кода нужно чтоб новый PIN-код соответствовал требованиям свойства введенного пароля. Качество пароля проверяется согласно введенным аспектам.
Для того чтоб проверить соответствие пароля избранным аспектам, введите пароль в строчку. Под этой строчкой выводится информация о причинах несоответствия введённого пароля избранным аспектам в процентах, также графически и в процентах условно отображается качество введённого пароля согласно избранным аспектам.

Список критериев

В таблице приведены аспекты свойства PIN-кода и указаны их настраиваемые значения. В качестве значения аспекта может быть применена отрицательная величина, выраженная в процентах. Такое значение именуется штрафом.

Словарь

Для того чтоб задать перечень недопустимых либо ненужных паролей, сделайте текстовый файл. Либо вы сможете пользоваться так именуемыми частотными словарями, которые употребляются для подбора паролей. Файлы таких словарей можно взять на веб-сайте www.passwords.ru.
Пример такового словаря:
anna
annette
bill
password
william
Назначьте аспекту «Dictionary» путь к сделанному файлу. При всем этом путь к файлу словаря на каждом компьютере должен совпадать со значением аспекта «Dictionary».

Вход в Windows при помощи eToken

Общие сведения

eToken SecurLogon совмещает эффективную защиту сети с удобством и мобильностью. При аутентификации в Windows употребляются имя юзера и пароль, хранящиеся в памяти eToken. Это даёт возможность использовать строгую аутентификацию на базе токенов.
Совместно с тем хотелось бы добавить, что в больших компаниях, использующих доменную структуру, нужно поразмыслить о внедрении PKI и централизованном применении SmartCardLogon.
При использовании eToken SecurLogon могут применяться никому не известные случайные сложные пароли. Не считая того, предусмотрена возможность использования сертификатов, хранящихся в памяти eToken, для регистрации на базе смарт-карт, что увеличивает безопасность входа в Windows.
Это стало вероятным благодаря тому, что система Windows 2000/XP позволяет использовать разные механизмы доступа, заменяющие способ аутентификации по дефлоту. Механизмы идентификации и аутентификации службы входа в Windows (winlogon), обеспечивающей интерактивную регистрацию в системе, интегрированы в заменяемую динамически подсоединяемую библиотеку (DLL), называемую GINA (Graphical Identification and Authentication, десктоп аутентификации). Когда система нуждается в ином способе аутентификации, который бы поменял механизм «имя юзера/пароль» (применяемый по дефлоту) стандартную msgina.dll подменяют новейшей библиотекой.
При установке eToken SecurLogon заменяется библиотека десктопа аутентификации и создаются новые характеристики реестра. GINA отвечает за политику интерактивного подключения и производит идентификацию и диалог с юзером. Подмена библиотеки десктопа аутентификации делает eToken главным механизмом проверки подлинности, расширяющим способности стандартной аутентификации Windows 2000/XP, основанной на применении имени юзера и пароля.
Юзеры могут без помощи других записывать в память eToken информацию, нужную для входа в Windows (профили), если это разрешено политикой безопасности предприятия.
Профили можно создавать при помощи мастера сотворения профилей eToken Windows Logon.

Приступая к работе

eToken SecurLogon аутентифицирует юзера Windows 2000/XP/2003 c помощью eToken, используя или сертификат юзера со смарт-картой, или имя юзера и пароль, которые хранятся в памяти eToken. eToken RTE содержит в себе все нужные файлы и драйверы, обеспечивающие поддержку eToken в eToken Windows Logon.

Малые требования

Условия для установки eToken Windows Logon:

на всех рабочих станциях должен быть установлен eToken Runtime Environment (версии 3.65 либо 3.65);
eToken SecurLogon устанавливается на компьютер с Windows 2000 (SP4), Windows XP (SP2) либо Windows 2003 (SP1). eToken SecurLogon поддерживает традиционный диалог приветствия Windows (но не новый экран приветствия Windows XP) и не поддерживает режим резвой смены юзера в Windows XP.

Поддерживаемые токены

eToken SecurLogon поддерживает последующие устройства eToken:

eToken PRO – USB-ключ, позволяющий создавать двухфакторную аутентификацию. Доступен в версиях 32К и 64К;
eToken NG-OTP – гибрид USB-ключа и устройства, генерирующего разовые пароли. Доступен в версиях 32К и 64К;
смарт-карта eToken PRO – устройство, выполняющее те же функции, что и USB-ключ, но имеющее форму обыкновенной кредитной карты. Доступна в версиях 32К и 64К.

eToken Runtime Environment (RTE)

eToken Runtime Environment (RTE) содержит все файлы и драйверы, обеспечивающие поддержку eToken в eToken Windows Logon. В этот набор также заходит утилита «Характеристики eToken» (eToken Properties), позволяющая юзеру просто управлять PIN-кодом и именованием eToken.
Все новые eToken имеют один и тот же PIN-код, установленный по дефлоту при производстве. Этот PIN-код 1234567890. Для обеспечения серьезной, двухфакторной аутентификации и полной функциональности юзер непременно должен поменять PIN-код по дефлоту своим PIN-кодом сходу после получения нового eToken.
Принципиально: PIN-код не следует путать с паролем юзера Windows.

Установка

Для того чтоб установить eToken Windows Logon:

войдите в систему как юзер с правами админа;
два раза щёлкните SecurLogon – 2.0.0.55.msi;
появится окно мастера установки eToken SecurLogon (рис. 11);
нажмите кнопку «Next», появится лицензионное соглашение eToken Enterprise;
прочитайте соглашение, нажмите кнопку «I accept» (Принимаю), а потом кнопку «Next»;
в конце установки делается перезагрузка.

Набросок 11 Установка SecurLogon

Установка при помощи командной строчки:
eToken SecurLogon можно устанавливать, используя командную строчку:
msiexec /Option [необязательный параметр]
Характеристики установки:

– установка либо настройка продукта;
/a – административная установка – установка продукта в сеть;
/j [/t ] [/g ]

Объявление о продукте:

«m» – всем юзерам;
«u» – текущему юзеру;
– отмена установки продукта.

Характеристики отображения:

/quiet – тихий режим, без взаимодействия с юзером;
/passive – автоматический режим – только индикатор выполнения;
/q[n|b|r|f] – выбор уровня интерфейса юзера;
n – без интерфейса;
b – основной интерфейс;
r – сокращенный интерфейс;
f – полный интерфейс (по дефлоту);
/help – вывод справки по использованию.

Характеристики перезапуска

/norestart – не перезапускать после окончания установки;
/promptrestart – запрашивать переустановку по мере надобности;
/forcerestart – всегда запускать компьютер после окончания установки.

Характеристики ведения журнальчика
/l[i|w|e|a|r|u|c|m|o|p|v|x|+|!|*] ;

i – сообщения о состоянии;
w – сообщения об устранимых ошибках;
e – все сообщения об ошибках;
a – пуски действий;
r – записи, специальные для деяния;
u – запросы юзера;
c – исходные характеристики интерфейса юзера;
m – сведения о выходе из-за недочета памяти либо неискоренимой ошибки;
o – сообщения о недочете места на диске;
p – характеристики терминала;
v – подробный вывод;
x – дополнительная отладочная информация;
+ – добавление в имеющийся файл журнальчика;
! – сбрасывание каждой строчки в журнальчик;
* – вносить в журнальчик все сведения, не считая характеристик «v» и «x» /log равнозначен /l* .

Характеристики обновления:

/update [;Update2.msp] – применение обновлений;
/uninstall [;Update2.msp] /package – удаление обновлений продукта.

Характеристики восстановления:
/f[p|e|c|m|s|o|d|a|u|v]
Восстановление продукта:

p – только при отсутствии файла;
o – если файл отсутствует либо установлена древняя версия (по дефлоту);
e – если файл отсутствует либо установлена такая же либо древняя версия;
d – если файл отсутствует либо установлена другая версия;;
c – если файл отсутствует либо контрольная сумма не совпадает с подсчитанным значением;
a – вызывает переустановку всех файлов;
u – все нужные элементы реестра, специальные для юзера (по дефлоту);
m – все нужные элементы реестра, специальные для компьютера (по дефлоту);
s – все имеющиеся ярлычки (по дефлоту);
v – пуск из источника с повторным кэшированием локальных пакетов;

Настройка общих параметров:
[PROPERTY=PropertyValue]
Обратитесь к управлению разработчиков Windows (R) Installer за дополнительными сведениями по использованию командной строчки.

Автоматическая генерация пароля.

При записи профиля юзера в память eToken пароль может генерироваться автоматом либо вводиться вручную. При автоматической генерации формируется случайный, длиной до 128 знаков, пароль. При всем этом юзер не будет знать собственный пароль и не сумеет войти в сеть без ключа eToken. Требование использования только автоматом сгенерированных паролей может быть настроено как непременное.

Внедрение eToken SecurLogon

eToken SecurLogon позволяет юзерам региться в Windows 2000/XP/2003 с помощью eToken с записанным в памяти паролем.

Регистрация в Windows

Вы сможете региться в системе Windows при помощи eToken, либо вводя имя юзера и пароль Windows.

Чтоб зарегистрироваться в Windows при помощи eToken:

Перезагрузите ваш компьютер;
Появится приветственное сообщение Windows;
Если eToken уже подсоединён, щелкните по ссылке Logon Using eToken (регистрация с помощью eToken). Если eToken не был подсоединён, подключите его к порту USB либо кабелю. При любом способе регистрации будет отображено окно «Вход в Windows / Log On to Windows»;
Изберите юзера и введите PIN-код eToken;
Нажмите кнопку «OK». Вы открыли сеанс юзера при помощи реквизитов, становленных в памяти eToken.
Если вы используете eToken с сертификатом юзера со смарт-картой, то вы должны ввести только PIN-код eToken, чтоб подключиться к компу.

Регистрация в Windows без eToken:

перезагрузите ваш компьютер, нажмите сочетание кнопок CTRL+ALT+DEL, появится окно «Вход в Windows / Log On to Windows»;
нажмите кнопку «OK» – вы вошли в систему с помощью имени юзера и пароля.

Смена пароля

Вы сможете поменять пароль Windows после входа в систему с помощью eToken.
Для того чтоб поменять пароль после входа в систему с помощью eToken:

войдите в систему, используя eToken;
нажмите «CTRL+ALT+DEL«, появится окно «Безопасность Windows / Windows Security«;
Щёлкните кнопку «Смена пароля / Change Password«, если текущий пароль был сотворен вручную, то появится окно «Смена пароля / Change Password«, но если текущий пароль был сотворен случайным образом, то перебегаем к пт 5;
Введите новый пароль в полях «Новый пароль / New Password« и «Доказательство / Confirm New Password« и нажмите кнопку «OK«;
Если текущий пароль был сотворен случайным образом, то и новый пароль будет сотворен автоматом;
в показавшемся диалоговом окне введите PIN-код eToken и нажмите кнопку «OK»
появится окно с подтверждающим сообщением.

Защита сеанса юзера

Вы сможете использовать eToken для обеспечения безопасности вашего рабочего сеанса.

Блокировка вашей рабочей станции

Вы сможете обеспечивать безопасность вашего компьютера, не выходя из системы, методом блокировки компьютера. При отсоединении eToken от порта USB либо кабеля (после успешной регистрации) операционная система автоматом перекроет ваш компьютер.

Для того чтоб разблокировать ваш компьютер:

Когда ваш компьютер заблокирован, возникает окно «Блокировка компьютера Computer Locked«. Подключите eToken к порту USB либо кабелю. В показавшемся окне введите PIN-код в поле «eToken Password« и нажмите кнопку «OK» – компьютер разблокирован.
Примечание: в случае нажатия «CTRL+ALT+DEL« и ввода пароля компьютер будет разблокирован без использования eToken.

Удаление вручную

В том редчайшем случае, когда вам будет нужно удалить eToken SecurLogon вручную, предпримите последующие деяния:

перезагрузите компьютер и загрузите его в неопасном режиме;
зарегайтесь как юзер с правами админа;
с помощью редактора реестра откройте раздел HKEY_LOCAL_MAСHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon и удалите параметр «GinaDLL«;
gерезагрузите ваш компьютер, при последующей регистрации в Windows появится окно Microsoft Windows Logon.

Устранение общих проблем

Вам может пригодиться произвести последующие деяния для устранения общих проблем: