JaCarta PKI и OpenVPN для Windows / Хабр

Что такое etoken?

eToken (рис. 1) – персональное устройство для аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронно-цифровой подписью (ЭЦП). eToken выпускается в виде:

  • eToken PRO – USB-ключ, позволяющий производить двухфакторную аутентификацию. Доступен в версиях 32К и 64К.

  • eToken NG-OTP – гибрид USB-ключа и устройства, генерирующего одноразовые пароли (One Time Password, OTP). Доступен в версиях 32К и 64К.

  • Смарт-карта eToken PRO – устройство, выполняющее те же функции, что и USB-ключ, но имеющее форму обычной кредитной карты. Доступна в версиях 32К и 64К.

В дальнейшем мы будем говорить именно о USB-ключах, которые подключаются напрямую к USB порту компьютера и, в отличие от смарт-карты, не требует наличия специального считывателя.

Ключ eToken Pro 64K
Устройство eToken Pro 64K

eToken обладает защищенной энергонезависимой памятью и используется для хранения паролей, сертификатов и других секретных данных.

Что вы можете сделать для защиты электронной почты?

В прошлой статье «Как при помощи токена сделать Windows домен безопаснее? Часть 1» мы рассказали, как настроить безопасный вход в домен. Напомнили, что такое двухфакторная аутентификация и каковы ее преимущества.

В этой статье мы поговорим о защите электронной почты.

Стандартные почтовые протоколы не включают очевидных механизмов защиты, которые гарантировали бы авторство писем и обеспечивали простую и легкую проверку. Такая ситуация с защитой почтовых систем дает возможность злоумышленникам создавать письма с фальшивыми адресами.

Поэтому нельзя быть на 100% уверенным в том, что человек, данные которого указаны в поле «От кого», действительно является автором письма. Также тело электронного письма легко изменить, т. к. нет средств проверки целостности и при передаче через множество серверов письмо может быть прочитано и изменено.

Один из способов обеспечить конфиденциальность переписки — шифрование сообщений, а один из способов проверить целостность письма и установить авторство — подписание его электронной подписью.

Зашифрованное сообщение будет доступно для прочтения только тем получателям, у которых имеется закрытый ключ, соответствующий открытому, при помощи которого было зашифровано сообщение. Любой другой получатель не сможет даже открыть письмо.

Двухфакторная аутентификация

Опытным системным администраторам и службам безопасности хорошо известно, что пользователи крайне не сознательны в вопросе соблюдения политик безопасности, они могут записать свои учетные данные на стикере и приклеить его рядом с компьютером, передать пароли своим коллегам и тому подобное.

Особенно часто это происходит, когда пароль сложный (содержащий более 6 знаков и состоящий из букв разного регистра, цифр и специальных символов) и его трудно запомнить. А ведь такие политики администраторами задаются не просто так. Это необходимо для защиты учетной записи пользователя от простого перебора паролей по словарю.

Давайте вспомним, что такое аутентификация. В нашем случае это процесс подтверждения подлинности субъекта или объекта. Аутентификация пользователя — это процесс подтверждения подлинности пользователя.

А двухфакторная аутентификация — это такая аутентификация, в которой необходимо использовать не менее двух различных способов для подтверждения своей личности.

Простейшим примером двухфакторной аутентификации в реальной жизни является сейф с замком и кодовой комбинацией. Чтобы открыть такой сейф необходимо знать код и владеть ключом.

Использование командной строки

Для установки и удаления eToken RTE 3.65, eToken RTE 3.65 RUI и eToken RTX можно использовать командную строку.

Примеры команд:

  • msiexec /qn /i <pack.msi > – установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме без диалоговых окон с параметрами по умолчанию;

  • msiexec /qb /i <pack.msi> – установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме с параметрами по умолчанию и отображением процесса установки на экране;

  • msiexec /qn /x <pack.msi> – удаление eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме без диалоговых окон;

  • msiexec /qb /x <pack.msi> – удаление eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме с отображением процесса удаления на экране.

Первое подсоединение USB-ключа eToken к компьютеру

Если на компьютере установлен eToken RTE 3.65, подключите eToken к порту USB или к удлинительному кабелю. После этого начнётся процесс обработки нового оборудования, который может занять некоторое время. По завершении процесса обработки нового оборудования на eToken загорится световой индикатор.

Как настроить защиту сообщений в microsoft outlook с помощью рутокен эцп pki?

А теперь за дело. Настроим шифрование и подписание писем.

Для примера я буду использовать устройство для безопасного хранения ключей и сертификатов Рутокен ЭЦП PKI .

Рутокен ЭЦП PKI

Как на токене появились ключи и сертификаты, мы подробно объяснять не будем. Вы можете получить их в удостоверяющем центре или создать самостоятельно, как описано в одной из наших прошлых статей.

Для начала, используя панель Рутокен, сохраните сертификат в локальном хранилище и установите для него параметр «по умолчанию».

На вкладке «Сертификаты» щелкните по названию необходимого сертификата, нажмите «По умолчанию». Также установите флажок в строке с этим сертификатов, в столбце «Зарегистрирован».

Вкладка Сертификаты

В Microsoft Outlook выберите пункт меню «Файл» и подпункт «Параметры».

Выберите пункт «Центр управления безопасностью» и нажмите «Параметры центра управления безопасностью…».

Центр управления безопасностью

Выберите пункт «Защита электронных писем» и установите необходимые флажки.

Защита электронных писем

Нажмите «Параметры».

Измените имя конфигурации, выберите сертификаты для подписи и шифрования.

Выбор сертификатов для подписи и шифрования

После этого все письма, отправленные с помощью MS Outlook, будут автоматически зашифрованы и подписаны.

Для начала обмена электронными письмами необходимо отправить сертификат получателю зашифрованного письма. Для этого можно отправить ему письмо с файлом сертификата или письмо, подписанное электронной подписью.

Мы отправим подписанное письмо.

Для подписания письма электронной подписью перейдите на вкладку «Параметры» и нажмите «Шифрование» (чтобы письмо было только подписано). Все просто!

Нажмите Шифрование

Получателю необходимо добавить вас в контакты Outlook и ответить на ваше письмо зашифрованным и подписанным письмом. После этого вы сможете обмениваться с получателем зашифрованными письмами, и никто кроме вас двоих прочитать их не сможет.

Иногда необходимо подписать только файл, приложенный к письму. Это можно сделать, подписав сам файл в одном из популярных приложений Microsoft Word или Microsoft Excel.

Мы рассмотрим процесс подписания файла в приложении Microsoft Word.

Как работает протокол s/mime?

Протокол S/MIME (Secure/Multipurpose Internet Mail Extensions) обеспечивает аутентификацию, целостность сообщения, сохранение авторства и безопасность данных.

S/MIME идентифицирует обладателя открытого ключа с помощью сертификата X.509.

S/MIME обеспечивает защиту от трех типов нарушений безопасности:

Для защиты от искажения почтового сообщения или фальсификации в S/MIME используется цифровая подпись. Наличие цифровой подписи гарантирует нам то, что сообщение не было изменено в процессе передачи. Кроме того, не позволяет отправителю сообщения отказаться от своего авторства.

Однако цифровая подпись сама по себе не гарантирует передачу сообщений с обеспечением конфиденциальности. В S/MIME эту функцию выполняет шифрование. Грубо говоря, оно осуществляется с помощью асимметричного криптографического алгоритма.

Спецификация S/MIME определяет два типа файлов в формате MIME: один для цифровых подписей, другой для шифрования сообщений. Оба типа базируются на синтаксисе криптографических сообщений стандарта PKCS#7.

Если сообщение должно быть зашифровано, а шифртексту должны быть присвоены некоторые атрибуты, то используются вложенные конверты. Внешний и внутренний конверты предназначаются для защиты цифровой подписи, а промежуточный конверт — для защиты шифртекста.

При работе с S/MIME необходимо иметь два ключа — открытый и закрытый. Ключи сопровождает сертификат, то есть информация о пользователе, позволяющая определить, что он — именно тот, за кого себя выдает. Сертификат можно сравнить с неким электронным паспортом, своеобразным удостоверением личности.

Для отправки зашифрованного сообщения необходимо получить открытый ключ получателя сообщения и, грубо говоря, зашифровать сообщение с его использованием.

Этапы шифрования сообщения

На рисунке показаны этапы шифрования сообщения электронной почты в S/MIME:

  1. Алиса создает сообщение, которое она хочет зашифровать и отправить Бобу. Решает его отправить Бобу. Клиент обмена сообщениями, видя, что письмо нуждается в шифровании, генерирует случайный ключ шифрования (закрытый ключ, который обычно называется сеансовым ключом, впоследствии новый случайный ключ генерируется каждый раз, когда отправляется зашифрованное сообщение) и зашифровывает с его помощью сообщение.
  2. Сеансовый ключ шифруется с помощью открытого ключа получателя и прикрепляется к сообщению, а это значит, что расшифровать его может только закрытый ключ Боба.
  3. Зашифрованный текст и зашифрованный ключ отправляются Бобу посредством SMTP (Simple Mail Transfer Protocol).
  4. Почтовый клиент Боба использует закрытый ключ Боба для расшифровки зашифрованного ключа и получает расшифрованный сеансовый ключ. Здесь гарантируется секретность, т. к. для расшифровки сеансового ключа, необходимого для расшифровки сообщения, может быть использован только закрытый ключ Боба.
  5. Почтовый клиент Боба использует расшифрованный сеансовый ключ для расшифровки почтового сообщения, результатом этого является расшифрованное исходное сообщение, которое было отправлено Алисой.

Шифрование не защищает сообщение от подделки и изменения содержания в процессе передачи. Поэтому вместе с шифрованием для защиты электронного письма необходимо использовать электронную подпись.

Этапы аутентификации и обнаружения подделки

На рисунке показаны этапы аутентификации и обнаружения подделки сообщения с использованием электронной подписи:

  1. Алиса создает сообщение и подписывает его электронной подписью. Почтовый клиент видя, что сообщение должно быть подписано, генерирует хеш сообщения Алисы (в результате получается хеш d — «digest»).
  2. Хеш подписывается клиентом обмена сообщениями с использованием закрытого ключа Алисы. Это означает, что только ее открытый ключ будет способен проверить подпись на этом хеше.
  3. Подписанный хеш вместе с сообщением отправляется Бобу.
  4. Почтовый клиент Боба использует открытый ключ Алисы для проверки подписи хеша и убеждается, что подпись на хеше правильная.
  5. Почтовый клиент Боба вычисляет новый хеш на основе отправленного Алисой текста (результат в хеше d).
  6. После этого почтовый клиент Боба сравнивает проверенный хеш и заново вычисленный в пункте 5. Это позволяет узнать Бобу, является ли цифровая подпись действительной. Если два хеша одинаковые, то сообщение действительно пришло от Алисы и не было подделано в процессе передачи.

Microsoft Outlook и другие почтовые клиенты для шифрования и подписания электронных писем используют протокол S/MIME. Если получатель и отправитель зашифрованного электронного письма используют разные почтовые клиенты, то это не означает, что они не смогут читать зашифрованные письма друг друга.

Мы для примера рассмотрим процесс настройки почтового клиента Microsoft Outlook, как наиболее распространенного в корпоративной среде. Другие почтовые клиенты тоже можно использовать для шифрования и подписи сообщений. Их настройка в целом похожа, но могут быть нюансы.

Как это работает?

Есть документ, который необходимо подписать. С помощью специального ПО из содержания документа и закрытого ключа создается уникальная символьная последовательность. Эта последовательность и является электронной подписью. Она всегда уникальна для данного пользователя и данного документа.

Электронная подпись

Электронная подпись — это реквизит документа, который позволяет установить факт искажения информации в электронном документе с момента формирования электронной подписи и подтвердить принадлежность ее владельцу.

Электронная подпись может быть равносильна собственноручной подписи на бумажном документе, поэтому очень важно, чтобы вашу электронную подпись не смог поставить злоумышленник.

Чтобы обезопасить свою электронную подпись, закрытый ключ электронной подписи необходимо хранить на токене или смарт-карте. Тогда ваша электронная подпись будет защищена PIN-кодом и даже в случае кражи токена или смарт-карты, злоумышленник не сможет ей воспользоваться.

Давайте для примера подпишем любой документ в формате DOCX.

Я буду использовать приложение Microsoft Word 2022.

Вам потребуется токен или смарт-карта. Я для примера буду использовать Рутокен ЭЦП 2.0.

Рутокен ЭЦП 2.0

Для начала откройте документ, который необходимо подписать.

Выберите пункт «Файл» и нажмите «Защита документа».

Нажмите Защита документа

Выберите пункт «Добавить цифровую подпись».

Откроется окно подписи. Оно позволяет добавить личные сертификаты, которые будут использоваться при формировании подписи. Один из сертификатов выбран автоматически.

В раскрывающемся списке выберите тип подтверждения и при необходимости внесите цель подписания документа.

Нажмите «Изменить» и выберите необходимый сертификат.

Выберите сертификат

После выбора сертификата нажмите «Подписать» и укажите PIN-код токена. Подпись сохранится в документе. В строке состояния отобразится значок, свидетельствующий о том, что данный документ создан с подписью.

Документ создан с подписью

Теперь, если кто-то изменит документ, то ему придется подписать его заново. А это значит, что вы всегда будете знать, кто является автором последней версии документа. И будете понимать, была ли изменена ваша версия документа.

Это, в свою очередь, позволит сделать обмен документами более безопасным и «прозрачным».

Настройка клиента

Установите ПО «Единый Клиент JaCarta» и «JaCarta SecurLogon» с официального сайта компании «Аладдин Р.Д.».

«JaCarta SecurLogon» — программное решение, обеспечивающее простой и быстрый переход от обычных паролей к двухфакторной аутентификации при входе в ОС Microsoft Windows и доступе к сетевым ресурсам по токену JaCarta.

Выберете вкладку «PKI» и проинициализируйте токен.

Инициализация ключа приведет к удалению всех данных на нем. Если на ключе есть необходимая вам информация, в том числе ключи и сертификаты для других систем, не проводите инициализацию ключа.

С помощью ПК «Единый Клиент JaCarta» импортируйте на токен файл PKCS#12, ранее сгенерированный для клиента. На токене появятся ключи и сертификат, их можно увидеть в окне «Единый Клиент JaCarta». Установите сертификат с токена в личное хранилище компьютера.

Скопируйте sha1 отпечаток личного сертификата, он потребуется для дальнейшей настройки.

Также потребуется сертификат Удостоверяющего центра, полученный в ходе настройки сервера. Установите сертификат в хранилище доверенных корневых центров сертификации, а также сохраните локально.

Отредактируйте ваш файл конфигурации клиента, задайте правильные сетевые настройки.

В поле cryptoapicert укажите отпечаток сертификата пользователя.

В поле ca укажите путь к сертификату Удостоверяющего центра.

Выдержка из конфигурационного файла:

# SSL/TLS parms.# See the server config file for more# description. It’s best to use# a separate .crt/.key file pair# for each client. A single ca# file can be used for all clients.cryptoapicert «THUMB:81 0d d6 b7 …. ОТПЕЧАТОК КЛИЕНТСКОГО СЕРТИФИКАТА»ca C:ПУТЬ К СЕРТИФИКАТУ УДОСТОВЕРЯЮЩЕГО ЦЕНТРАca.crt

Настройка сервера


Для возможности аутентификации в

OpenVPN

по цифровому сертификату необходимо, чтобы клиент и сервер имели цифровые сертификаты, выданные доверенным центром сертификации. Клиент должен доверять сертификату сервера, а сервер – сертификату клиента.

Нарушение доверия к сертификату сервера или клиента приведет к невозможности установки VPN-соединения.

Рассмотрим процесс выпуска ключей и сертификатов с использованием средств, предлагаемых самим OpenVPN.

Перейдите в каталог easy-rsa, который находится в установочной директории OpenVPN и запустите init-config.bat. В результате работы создастся файл vars.bat, который необходимо отредактировать для адаптации к вашему окружению:

set HOME=%ProgramFiles%OpenVPNeasy-rsa – задайте рабочий каталогset KEY_CONFIG=openssl-1.0.0.cnf – задайте конфигурационный файл Opensslset KEY_DIR=keys – задайте каталог для хранения ключейset KEY_SIZE=1024 – установите размер ключаset KEY_COUNTRY=US – укажите странуset KEY_PROVINCE=CA – укажите областьset KEY_CITY=SanFrancisco – укажите городset KEY_ORG=OpenVPN – укажите название организацииset [email protected] – укажите e-mailset KEY_CN=changeme – укажите общее имя (common name) set KEY_NAME=changeme – укажите имяset KEY_OU=changeme – укажите подразделение организации

Следующие секции оставьте без изменений:

set PKCS11_MODULE_PATH=changeme – путь к модулю pkcs#11set PKCS11_PIN=1234 – ПИН-код к смарт-карте

Необходимо сгенерировать ключи для TLS. Создайте пустые файлы для хранения индексов и серийных номеров. Для этого запустите (выполняется один раз):


Сгенерируйте ключ Удостоверяющего центра (выполняется один раз). Запустите:

В диалоге укажите имя желаемого Удостоверяющего центра.

Сгенерируйте файл для ключей Диффи-Хэллмана (только для сервера, выполняется один раз).

Запустите:

Сгенерируйте приватный ключ и сертификат сервера.

Запустите:

В результате будут сгенерированы ключ и сертификат с именем машины (сервера).

Теперь необходимо создать ключи и сертификаты для клиентских машин. Сгенерируйте файл PKCS#12 для каждой клиентской машины.

Для этого запустите:

В результате будет сгенерирован файл PKCS#12 с именем клиентской машины. Это нужно будет сгенерировать для каждой машины.

Отредактируйте ваш файл конфигурации сервера, задайте правильные сетевые настройки.

Обратите внимание на то, что необходимо правильно указать пути к файлам ключей и сертификатов. Выдержка из конфигурационного файла:

# Any X509 key management system can be used.# OpenVPN can also use a PKCS #12 formatted key file# (see «pkcs12» directive in man page).ca C:ПУТЬ_К_СЕРТИФИКАТУ_УДОСТОВЕРЯЮЩЕГО_ЦЕНТРАca.crtcert C:ПУТЬ_К_СЕРТИФИКАТУ_СЕРВЕРАserver.crtkey C:ПУТЬ_К_КЛЮЧУ_СЕРВЕРАserver.key

# Diffie hellman parameters.# Generate your own with:# openssl dhparam -out dh2048.pem 2048dh C:ПУТ_К_ФАЙЛУ_ДИФФИ-ХЭЛЛМАНАdh1024.pem

Общие сведения

eToken SecurLogon совмещает эффективную защиту сети с удобством и мобильностью. При аутентификации в Windows используются имя пользователя и пароль, хранящиеся в памяти eToken. Это даёт возможность применять строгую аутентификацию на основе токенов.Вместе с тем хотелось бы добавить, что в крупных компаниях, использующих доменную структуру, необходимо подумать о внедрении PKI и централизованном применении SmartCardLogon.

При использовании eToken SecurLogon могут применяться никому не известные случайные сложные пароли. Кроме того, предусмотрена возможность использования сертификатов, хранящихся в памяти eToken, для регистрации на основе смарт-карт, что повышает безопасность входа в Windows.

Это стало возможным благодаря тому, что система Windows 2000/XP позволяет использовать различные механизмы доступа, заменяющие метод аутентификации по умолчанию. Механизмы идентификации и аутентификации службы входа в Windows (winlogon), обеспечивающей интерактивную регистрацию в системе, встроены в заменяемую динамически подсоединяемую библиотеку (DLL)

, именуемую GINA (Graphical Identification and Authentication, рабочий стол аутентификации). Когда система нуждается в ином методе аутентификации, который бы заменил механизм “имя пользователя/пароль” (используемый по умолчанию) стандартную msgina.dll заменяют новой библиотекой.

При установке eToken SecurLogon заменяется библиотека рабочего стола аутентификации и создаются новые параметры реестра. GINA отвечает за политику интерактивного подключения и осуществляет идентификацию и диалог с пользователем. Замена библиотеки рабочего стола аутентификации делает eToken основным механизмом проверки подлинности, расширяющим возможности стандартной аутентификации Windows 2000/XP, основанной на применении имени пользователя и пароля.

Пользователи могут самостоятельно записывать в память eToken информацию, необходимую для входа в Windows (профили), если это разрешено политикой безопасности предприятия.Профили можно создавать с помощью мастера создания профилей eToken Windows Logon.

Перечень критериев

В таблице приведены критерии качества PIN-кода и указаны их настраиваемые значения. В качестве значения критерия может быть использована отрицательная величина, выраженная в процентах. Такое значение называется штрафом.

СтандартОписаниеВозможные значенияЗначения по умолчанию
ABCOrderPIN-код содержит последовательность символов в алфавитном порядке-100% – 0%-10%
ABCOrderBaseДлина последовательности символов для критерия ABCOrder2% – 100%3%
CheckCurrPassНовый пароль равен текущему-100% – 0%-100%
CheckDictionaryПароль из словаря-100% – 0%-100%
CheckOldPassesНовый пароль равен одному из предыдущих-100% – 0%0%
DefaultPassChangeСмена пароля, принятого по умолчаниюNone (смена пароля не требуется)

Warning (выводится сообщение с предупрежде- нием)

Enforce (использование пароля по умолчанию невозможно)

Enforce
Dictionary файл словаряАбсолютный путь к файлу словаряНе задано
DigitsOnlyПароль только из цифр-100% – 0%-5%
DuplicatesНаличие двух одинаковых символов-100% – 0%-20%
ExpiryСрок действия до появления предупреждения о смене пароля0 – 3650 дней360
ExpiryEnforceМаксимальный срок действия в днях0 – 36500 (не установлен)
KeyboardProximityНаличие нескольких символов в том же порядке, как на клавиатуре-100% – 0%-10%
KeyboardProximity BaseДлина последовательности символов для предыдущего параметра2 – 1003
LikeDictionaryПароль похож на пароль из словаря-100% – 0%-80%
MinChangePeriodМинимальный срок действия в днях0 – 36500 (не установлен)
MinimalLengthМинимальная длина в символах0 – 1004
MinimalQualityМинимальная стойкость в процентах0 – 10030
NoDigitsОтсутствие цифр-100% – 0%-5%
NoLowerCaseОтсутствие строчных букв-100% – 0%-5%
NonPrintableИспользование букв русского алфавита, непечатаемых и некоторых служебных символов-100% – 0%-100%
NoPunctuationОтсутствие знаков препинания и служебных символов-100% – 0%-5%
NoUpperCaseОтсутствие прописных букв-100% – 0%-5%
OptimalLengthРекомендуемая длина в символах0 – 10012
PhonesandSerialNumbersИспользование в пароле номеров телефонов, серийных номеров и т.п.-100% – 0%-5%
RepeatingНаличие повторяющихся символов-100% – 0%-20%
SaveOldPassesКоличество использованных ранее паролей, хранящихся в памяти eToken для проверки по критерию CheckOldPasses0-203
SmallPasswordДлина пароля меньше WarningLength-100% – 0%-5%
WarningLengthЕсли длина пароля меньше этого параметра, при проверке качества пароля выдаётся предупреждение0-1006
WhiteSpacesПароль содержит символы пробела-100% – 0%-100%

Словарь

Права доступа к etoken

В зависимости от модели eToken и параметров, выбранных при форматировании, можно выделить четыре типа прав доступа к eToken:

  • гостевой – возможность просматривать объекты в открытой области памяти; возможность получения из системной области памяти общей информации относительно eToken, включающей имя eToken, идентификаторы и некоторые другие параметры. При гостевом доступе знание PIN-кода не обязательно;

  • пользовательский – право просматривать, изменять и удалять объекты в закрытой, открытой и свободной областях памяти; возможность получения общей информации относительно eToken; право менять PIN-код и переименовывать eToken; право настраивать параметры кэширования содержания закрытой области памяти и дополнительной защиты закрытых ключей паролем (при отсутствии пароля администратора или с разрешения администратора), право просмотра и удаления сертификатов в хранилище eToken и ключевых контейнеров RSA;

  • администраторский – право менять PIN-код пользователя, не зная его; право смены пароля администратора; право настраивать параметры кэширования содержания закрытой области памяти и дополнительной защиты закрытых ключей паролем, а также возможность делать эти настройки доступными в пользовательском режиме;

  • инициализационный – право форматировать eToken PRO.

К eToken R2 относятся только первые два типа прав, к eToken PRO и eToken NG-OTP – все четыре.

Администраторский доступ к eToken PRO может быть произведен только после правильного ввода пароля администратора. Если же в процессе форматирования пароль администратора не задан, то обратиться с правами администратора нельзя.

Программное обеспечение для etoken. общие сведения.

eToken Run Time Environment 3.65

eToken Run Time Environment (eToken RTE) – набор драйверов eToken. В состав данного пакета программного обеспечения входит утилита “Свойства eToken” (eToken Properties). 
С помощью данной утилиты можно:

  • настраивать параметры eToken и его драйверов;

  • просматривать общую информацию относительно eToken;

  • импортировать, просматривать и удалять сертификаты (за исключением сертификатов из хранилища eTokenEx) и ключевые контейнеры RSA;

  • форматировать eToken PRO и eToken NG-OTP;

  • настраивать критерии качества PIN-кодов.

Для установки данного программного обеспечения необходимы права локального администратора. Следует помнить, что до установки eToken RTE нельзя подключать ключ eToken.

Установку программного обеспечения необходимо проводить в следующем порядке:

  1. eToken RTE 3.65;

  2. eToken RTE 3.65 RUI (русификация интерфейса);

  3. eToken RTX.

Регистрация в windows

Вы можете регистрироваться в системе Windows с помощью eToken, или вводя имя пользователя и пароль Windows.
JaCarta PKI и OpenVPN для Windows / Хабр

Чтобы зарегистрироваться в Windows с помощью eToken:

  1. Перезагрузите ваш компьютер;
  2. Появится приветственное сообщение Windows;
  3. Если eToken уже подсоединён, щелкните по гиперссылке Logon Using eToken (регистрация при помощи eToken). Если eToken не был подсоединён, подключите его к порту USB или кабелю. При любом методе регистрации будет отображено окно “Вход в Windows / Log On to Windows”;
  4. Выберите пользователя и введите PIN-код eToken;
  5. Нажмите кнопку “OK”. Вы открыли сеанс пользователя с помощью реквизитов, становленных в памяти eToken.
  6. Если вы используете eToken с сертификатом пользователя со смарт-картой, то вы должны ввести только PIN-код eToken, чтобы подключиться к компьютеру.

Регистрация в Windows без eToken:

  1. перезагрузите ваш компьютер, нажмите сочетание клавиш CTRL ALT DEL, появится окно “Вход в Windows / Log On to Windows”;
  2. нажмите кнопку “OK” – вы вошли в систему при помощи имени пользователя и пароля.

Смена пароля

Вы можете сменить пароль Windows после входа в систему при помощи eToken.Для того чтобы сменить пароль после входа в систему при помощи eToken:

  1. войдите в систему, используя eToken;
  2. нажмите “CTRL ALT DEL“, появится окно “Безопасность Windows / Windows Security“;
  3. Щёлкните кнопку “Смена пароля / Change Password“, если текущий пароль был создан вручную, то появится окно “Смена пароля / Change Password“, но если текущий пароль был создан случайным образом, то переходим к пункту 5;
  4. Введите новый пароль в полях “Новый пароль / New Passwordи “Подтверждение / Confirm New Passwordи нажмите кнопку “OK“;
  5. Если текущий пароль был создан случайным образом, то и новый пароль будет создан автоматически;
  6. в появившемся диалоговом окне введите PIN-код eToken и нажмите кнопку “OK
  7. появится окно с подтверждающим сообщением.

Токен и смарт-карта

Наверно, самым надежным и простым в реализации способом двухфакторной аутентификации является использование криптографического токена или смарт-карты. Токен — это USB-устройство, которое является и считывателем, и смарт-картой одновременно. Первым фактором в таком случае является факт владения устройством, а вторым — знание его PIN-кода.

Использовать токен или смарт-карту, тут кому, что удобнее. Но исторически так сложилось, что в России больше привыкли использовать токены, так как они не требуют использования встроенных или внешних считывателей смарт-карт. У токенов есть и свои минусы. Например, на нем не напечатаешь фотографию.

На фотографии изображена типичная смарт-карта и считыватель.

Однако вернемся к корпоративной безопасности.

А начнем мы с домена Windows, ведь в большинстве компаний в России корпоративная сеть построена именно вокруг него.

Как известно, политики Windows-домена, настройки пользователей, настройки групп в Active Directory предоставляют и разграничивают доступ к огромному количеству приложений и сетевых сервисов.

Защитив учетную запись в домене, мы можем защитить большинство, а в некоторых случаях и вообще все внутренние информационные ресурсы.

Токены и удаленный рабочий стол (rdp подключение)

RDP-token-crypto-000.png

Электронно-цифровая подпись (ЭЦП) и токены, как средство ее хранения, плотно вошли в нашу жизнь, трудно представить себе предприятие, где нет хотя бы одной подписи. Другая распространенная технология – это удаленный рабочий стол (RDP), это может быть как сервер терминалов, так и просто доступ к рабочему месту сотрудника. Вполне ожидаемы попытки использовать обе эти технологии совместно, где и начинаются проблемы. В большинстве своем они проистекают от непонимания того, что такое токен, для чего он нужен и как с ним правильно работать.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Если мы говорим о токенах применительно к ЭЦП, то их основная задача – безопасное хранение закрытого ключа. Компрометация закрытого ключа равносильна полной утере подписи, так как с его помощью любой желающий может совершать от вашего имени юридически значимые действия. Использование усиленной квалифицированной электронной подписи (УКЭП) равносильно нотариально заверенной собственноручной подписи владельца. Начиная с 2022 года УКЭП выдается ФНС в единственном экземпляре, тем самым завершив эпоху зоопарка подписей, когда одно и тоже лицо (юридическое или физическое) могло иметь кучу подписей от разных УЦ, каждая из которых использовалась для собственного сервиса.

Но мы немного отклонились от темы. Но, благодаря этому отступлению можно понять, что ЭЦП – это очень важно и к ее безопасности следует относиться серьезно. Токены решают одну простую задачу – не допустить выход закрытого ключа за свои пределы. При любых криптографических операциях закрытый ключ не покидает пределов токена и не может быть просто так оттуда скопирован. В этом его основное отличие от таких хранилищ ЭЦП как флеш-карта или реестр, откуда ключи можно легко извлечь при наличии доступа.

Учитывая важность ЭЦП сложилась следующая парадигма – токен это индивидуальное аппаратное средство подписи и аутентификации, а сама идея удаленного доступа к нему идет вразрез со всеми представлениями о безопасности.

Начиная с Windows Vista при подключении к компьютеру при помощи RDP работа со смарт-картами и токенами, подключенными к удаленной машине невозможна.

Чтобы лучше разобраться в этом вопросе давайте проведем некоторые практические эксперименты. Мы будем использовать в них токены JaCarta, но это не имеет никакого значения, аналогично будут вести себя любые токены от любого производителя.

Подключим токен непосредственно к серверу терминалов и подключимся к нему интерактивно, т.е. через локальную консоль. В системе токен определяется как смарт-карта и устройство чтениясмарт-карт.

RDP-token-crypto-001.pngРодное ПО также видит токен и сертификаты на нем:

RDP-token-crypto-002.pngА теперь подключимся к этому же серверу по RDP, нас ожидает совершенно иная картина, хотя Диспетчер устройств будет продолжать нам показывать присутствие токена в системе:

RDP-token-crypto-003.pngКак мы уже писали выше, из RDP-сессии доступ к токенам и смарт-картам, подключенным к удаленному устройству невозможен!

Если же мы подключим токен к локальному компьютеру и снова подключимся к удаленному серверу, то увидим, что ПО на сервере видит токен и может полноценно с ним работать. При этом на локальном компьютере не нужно устанавливать ПО для токена, если вы будете работать с ним только удаленно. Обратите внимание, что Диспетчер устройств не показывает подключенного к серверу устройства.

RDP-token-crypto-004.pngУ многих здесь может возникнуть вопрос: а безопасно ли это? Пробрасывать токен на сервер? Да, безопасно, потому что пробрасывается стандартное устройство смарт-карта и все последующее взаимодействие идет именно с этим устройством, а критически важная информация, такая как закрытый ключ, ни при каких обстоятельствах не покидает пределы токена.

А если пользователей несколько и у каждого свой токен со своей ЭЦП? Ничего страшного, система предоставляет эффективную изоляцию токена в пределах сеанса. Берем еще один токен, подключаем ко второму компьютеру и соединяемся с сервером, как мы и ожидали, в текущей сессии пользователь видит только свой ключ.

RDP-token-crypto-005.pngПоэтому единственный правильный вариант сочетания ЭЦП расположенной на токенах и удаленного рабочего стола (RDP) – это расположение токена на клиенте с последующим пробросом устройства смарт-карты на терминальный сервер. С настройками по умолчанию это происходит автоматически, в противном случае проверьте, что у вас разрешен проброс смарт-карт как на клиенте, так и на сервере.

RDP-token-crypto-006.pngНо иногда все-таки бывают задачи, которые требуют использовать токен удаленно, в этих случаях следует использовать иные средства удаленного доступа, предполагающие подключение к текущему консольному сеансу. Последнее условие важно, сеанс к которому вы будете подключаться должен быть создан на сервере локально, а не через удаленный доступ.

Потому что даже если мы запустим TeamViewer или аналогичное ПО в RDP-сеансе, то мы не увидим токена, а попытавшись закрыть удаленный сеанс потеряем с ним связь.

RDP-token-crypto-007.pngЕсли же мы выполним локальный вход на сервер и запустим в рамках этого сеанса средство удаленного доступа, то токен снова будет доступен.

RDP-token-crypto-008.pngКак видим, если понимать основные принципы работы токенов при RDP-подключении, то никаких сложностей по работе с ними нет. Если необходим удаленный доступ, то вместо RDP используем иные средства, позволяющие непосредственно подключаться к локальному сеансу. Ну и не забываем, что ЭЦП – это большая ответственность и вопросы безопасности должны стоять на первом месте.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Утилита “свойства etoken”

Утилита “Свойства eToken” позволяет выполнять основные операции по управлению токенами, такие как смена паролей, просмотр информации и сертификатов, расположенных в памяти eToken. Кроме того, с помощью утилиты “Свойства eToken” можно быстро и легко переносить сертификаты между компьютером и eToken, а также импортировать ключи в память eToken.

Кнопка “Разблокировать” необходима, если пользователь забыл свой PIN-код, и не может прийти к администратору eToken (например, пользователь находится в командировке). Обратившись к администратору по e-mail, пользователь сможет получить для этого eToken от администратора шестнадцатиричный запрос, сформированный на основании данных, хранящихся в базе TMS, внеся который в поле “ответ” пользователь получит доступ на смену PIN-кода.

При смене PIN-кода необходимо чтобы новый PIN-код соответствовал требованиям качества введенного пароля. Качество пароля проверяется согласно введенным критериям.

Для того чтобы проверить соответствие пароля выбранным критериям, введите пароль в строку. Под этой строкой выводится информация о причинах несоответствия введённого пароля выбранным критериям в процентах, а также графически и в процентах условно отображается качество введённого пароля согласно выбранным критериям.

Похожее:  КАК ВОЙТИ В ЛИЧНЫЙ КАБИНЕТ ДЕПАРТАМЕНТА ЗДРАВООХРАНЕНИЯ ГОРОДА САНКТ ПЕТЕРБУРГА ЧЕРЕЗ ГОСУСЛУГИ ИНСТРУКЦИЯ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *