двухфакторная аутентификация в домене с использованием токенов и ms ca – my blog

Что нужно знать перед настройкой

Квалифицированная электронная подпись используется в электронном документообороте и торгах, а также для работы на государственных порталах и регистрации онлайн-кассы.

В большинстве случаев основная работа с подписью происходит в браузере, поэтому перед любыми действиями с сертификатом подписи программа должна быть настроена. Если не провести подготовку браузера, то он не сможет увидеть электронную подпись ни на компьютере, ни на токене.

Настройка браузера подразумевает установку дополнительных плагинов — криптопровайдеров. С их помощью компьютер может совершать криптографические операции, необходимые для работы с электронной подписью.

У браузеров Internet Explorer, Google Chrome, Яндекс.Браузер и Mozilla Firefox интерфейс имеет отличия, поэтому их настройка для работы с электронной подписью различается.

Рассмотрим настройку этих браузеров на основе криптопровайдера КриптоПро CSP.

Установка драйвера для токена

Подписи можно хранить в реестре компьютера, на обычных флеш-накопителях или на специальных usb-токенах. Список токенов, пин-коды и ссылки на ПО представлены в таблице ниже (Таблица 1). 

Таблица 1 – Драйверы для защищенных носителей

Визуально определите ваш носитель.

Установка корневых сертификатов УЦ

Для установки корневых сертификатов Вы можете воспользоваться автоматическим установщиком, который доступен для скачивания по данной ссылке, ЕГО НЕОБХОДИМО ЗАПУСТИТЬ ОТ ИМЕНИ АДМИНИСТРАТОРА

Установка плагинов для работы с КЭП

Для работы с электронной подписью в различных сервисах и ИС посредством браузера, необходимо установить дополнительное программное обеспечение, расширяющее возможности браузеров.

1. Крипто-Про ЭЦП Browser plugin 2.0 — стандартный плагин КриптоПро ЭЦП Browser plug-in.

Перейдите по ссылке для скачивания установочного файла, после завершения загрузки запустите файл. Во всех окнах подтверждения жмите «Да» и дождитесь завершения установки.

2. capicom2102.msi — стандартная библиотека CAPICOM от Microsoft.

Перейдите по ссылке для скачивания установочного файла, после завершения загрузки запустите файл. Примите лицензионное соглашение, во всех окнах подтверждения жмите «Далее» и дождитесь завершения установки.

Настройка браузера

После установки Плагинов, их необходимо активировать в Вашем браузере. Ниже приведен пример активации плагина КриптоПро ЭЦП Browser plug-in в самых распространенных браузерах:

Google chrome

В правом верхнем углу в списке активированных расширений должен появиться значок CryptoPro Extension for CAdES Browser Plug-in, что свидетельствует о правильной установке.

Mozilla firefox

Проверить корректность установки плагина можно на специальной странице → «Проверка создания электронной подписи». Нужно ввести данные для подписи, выбрать сертификат и нажать «Подписать».

Для получения квалифицированной электронной подписи обратитесь в аккредитованный удостоверяющий центр, получивший соответствующее разрешение в Минкомсвязи. Специалисты УЦ «Астрал-М» помогут вам выбрать подходящий тариф и расскажут, какие документы вам понадобятся для выпуска электронной подписи.

Чтобы получить электронную подпись:

Источник

Вход на портал госуслуг

Сотрудник установил плагин Госуслуг, и ему удалось войти на портал по ЭП.

Выбираем “По электронной подписи”:

Выбираем сертификат:

Вводим PIN-код:

Попадаем в личный кабинет:

Генерация ключа и формирование запроса на сертификат


Ниже приведена инструкция по генерации ключа и формированию запроса на сертификат c помощью Центра регистрации:

1. Запустить Центр регистрации:

2. Подключить Рутокен ЭЦП к компьютеру, выбрать токен, ввести PIN-код:

Двухфакторная аутентификация в домене с использованием токенов и MS CA - My Blog
После выбора токена отобразится меню:

3. Нажать кнопку “Создать ключ”:

Затем нажать «Создать запрос на этом ключе»

4. На странице создания запроса выбрать шаблон “СКБ Контур, для физлиц”, заполнить поля запроса, нажать кнопку “Создать запрос” (все поля должны быть заполнены, в данном случае реализован тестовый пример):

5. Скопировать запрос для отправки его в УЦ:

6. Сгенерированный ключ появился в списке:

После отправки запроса сотруднику пришло уведомление о необходимости явиться в офис УЦ для подтверждения личности. После прохождения проверки наш сотрудник получил сертификат.

Двухфакторная аутентификация в домене с использованием токенов и ms ca – my blog

Пароль является не очень надежным средством защиты. Очень часто используются простые, легко подбираемые пароли или же пользователи не особо следят за сохранностью своих паролей (раздают коллегам, пишут на бумажках и т.д.). В Microsoft уже давно реализована технология, позволяющая для входа в систему использовать SmartCard, т.е. аутентифицироваться в системе по сертификату. Но не обязательно использовать непосредственно смарт-карты, ведь для них нужны еще и считыватели, поэтому проще их заменить на usb токены. Они позволят реализовать двухфакторную аутентификацию: первый фактор — это пароль от токена, второй фактор — это сертификат на токене. Далее на примере usb токена JaCarta и домена Windows я расскажу как внедрить этот механизм аутентификации.

Первым делом в AD создадим группу «g_EtokenAdmin» и уч. запись «Enrollment Agent», входящую в эту группу. Эта группа и пользователь будут рулить центром сертификации.

etoken_auth_01

Далее добавим серверу роль AD CA (центр сертификации).

etoken_auth_02

Дополнительно установим Web службу для запроса сертификатов.

etoken_auth_03

Далее выбираем вариант для предприятия. Выбираем Корневой ЦС (если у нас это первый центр сертификации в домене)
Создаем новый закрытый ключ. Длину ключа можно оставить туже, а вот алгоритм хеширования лучше выбрать SHA2 (SHA256).

etoken_auth_04
Введем имя CA и выберем срок действия основного сертификата.
Остальные параметры оставляем по умолчанию и запускаем процесс установки.

etoken_auth_05
После установки зайдем в оснастку центра сертификации и настроим права на шаблоны.
etoken_auth_06

Нас будут интересовать два шаблона: Агент регистрации (Enrollment Agent) и Вход со смарт-картой (Smartcard logon).
Зайдем в свойства этих шаблонов и на вкладке безопасность добавим группу «g_EtokenAdmin» с правами чтение и заявка.

etoken_auth_07

Далее включим эти шаблоны.

etoken_auth_08

И они появятся у нас в общем списке.

etoken_auth_09

Следующим шагом настроим групповые политики:
Первым делом расскажем всем компьютерам домена о корневом центре сертификации, для этого изменим Default Domain Policy.
Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики открытого ключа -> Доверенные корневые центры сертификации -> Импорт

etoken_auth_10
Выберем наш корневой сертификат, расположенный по пути: C:WindowsSystem32certsrvCertEnroll. Закрываем Default Domain Policy.
На следующем шаге создадим политику для контейнера, в котором будут находится компьютеры с аутентификацией по токену (Смарт-карте).

etoken_auth_11

По пути Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности. Настроим два параметра «Интерактивный вход в систему: требовать смарт-карту» и  «Интерактивный вход в систему: поведение при извлечении смарт-карты».

etoken_auth_12

На этом с настройками все, теперь можно генерировать клиентский сертификат и проверять аутентификацию по токену.
Залогинемся на компьютере под учетной записью «Enrollment Agent» и откроем браузер, перейдя по ссылке http://Имя_сервера_MS_CA/certsrv

etoken_auth_13

Выбираем пункт Запрос сертификата -> Расширенный запрос сертификата -> Создать и выдать запрос к этому ЦС
Если возникнет ошибка вида «Чтобы завершить подачу заявки на сертификат, следует настроить веб-узел для ЦС на использование проверки подлинности по протоколу HTTPS», то нужно на сервере IIS, на котором установлен MS CA, сделать привязку сайта к протоколу https.

etoken_auth_14
Продолжим получение сертификата, для этого на открывшейся странице выберем шаблон: «Агент регистрации» и нажмем кнопку выдать и установить сертификат.

etoken_auth_15
Теперь пользователь Enrollment Agent может выписывать сертификаты для других пользователей. К примеру запросим сертификат для пользователя test. Для этого откроем консоль управления сертификатами certmgr.msc, т.к. через web интерфейс не получится записать сертификат на usb токен.
В этой консоли на папке личное сделаем запрос от имени другого пользователя

etoken_auth_16
В качестве подписи выбираем единственный сертификат «Enrollment Agent» и переходим к следующему шагу, на котором выбираем пункт «Вход со смарт-картой» и нажимаем подробности для выбора криптопровайдера.
В моем случае я использую токены JaCarta, поэтому вместе с драйверами был установлен криптопровайдер «Athena…»:

etoken_auth_17
На следующем шаге выбираем доменного пользователя, для которого выписываем сертификат и нажимаем на кнопку «Заявка».

etoken_auth_18

Вставляем токен, вводим пин код и начинается процесс генерации. В итоге мы должны увидеть диалоговое окно с надписью «Успешно».
Если процесс окончился неудачно, возможно дело в шаблоне получения сертификата, в моем случае его надо было немного подправить.

Приступим к тестированию, проверим работу токена на компьютере, находящемся в OU с групповой политикой входа по смарт-карте.
При попытке войти под учетной записью с паролем мы должны получить отказ. При попытке войти со смарт-картой (токеном) мы получим предложение ввести пин и должны успешно зайти в систему.

etoken_auth_19

P.s.
1) Если не работает автоматическая блокировка компьютера или выход из системы, после вытаскивания токена, смотрите запущена ли служба «Политика удаления смарт-карт»
2) На токен можно записать (сгенерировать сертификат) только локально, через RDP не получится.
3) Если не получается запустить процесс генерации сертификата по стандартному шаблону «Вход с смарт-картой», создайте его копию с такими параметрами.

etoken_auth_20

На этом все, если будут вопросы, задавайте, постараюсь помочь.

Защита компьютера с помощью электронных ключей etoken

Ни для кого не секрет, что информация, которая хранится на переносном ноутбуке, рабочем или домашнем компьютере, нуждается в серьёзной защите. Но, не смотря на понимание всей серьёзности ситуации, меры по защите конфиденциальных данных ограничиваются чаще всего лишь установкой антивирусной программы.

Однако нужно понимать, что один только антивирус не способен уберечь ваш компьютер от целого ряда вполне реальных угроз. В частности он не сможет предотвратить несанкционированный доступ реального злоумышленника к информации, хранимой и обрабатываемой на вашем ПК или ноутбуке.

Насколько сложно включить в ваше отсутствие, например, ваш рабочий компьютер, находящийся в офисе? Вполне возможно, что на нём даже не установлен пароль для входа в Windows, не говоря уже о том, что большинство паролей очень легко определяются методом простого перебора. Или ещё хуже пароль доступа к компьютеру записан на стикере, прикреплённом к монитору.

Выходит что любая информация служебного или личного характера, хранящаяся на офисном компьютере, может очень просто «уплыть» в руки постороннего человека или, хуже того, злоумышленника. Мы уже не говорим о таких распространённых случаях, как кража ноутбука или домашнего компьютера, когда в руки преступников попадает огромное количество личных данных, например, фотографий, видеозаписей, почтовой переписки, паспортных данных, платёжных реквизитов.

Избежать подобных проблем возможно с помощью электронных ключей eToken, применяемых совместно с самыми различными средствами для защиты информации.

Что такое электронный ключ eToken?

Электронный ключ eToken представляет собой компактное устройство, внешне напоминающее обычную флешку, предназначенное для выполнения широкого круга задач по обеспечению защиты информации, как частного лица, так и крупных корпоративных клиентов.

secur pc w etoken 350x200 et 5110

Как и обычный компьютер, eToken имеет встроенную память и процессор, работающие под управлением собственной операционной системы. При этом электронные ключи обеспечивают надёжное хранение данных, необходимых для доступа к конфиденциальной информации и защищены от несанкционированного вмешательства.

Где применяется и для чего нужен электронный ключ eToken?

Чаще всего eToken применяется для организации процесса двухфакторной аутентификации. Говоря простым языком, электронные ключи позволяют организовать защищённый доступ к данным, при котором необходимо в обязательном порядке подключить к компьютеру персональный eToken и ввести его ПИН-код.

eToken совместно с Secret Disk 5 позволит организовать процедуру аутентификации пользователя до загрузки операционной системы, а при работе с Rohos Logon Key непосредственно на уровне авторизации в Windows. При работе eToken с почтовой программой The Bat! Professional будет обеспечена ещё и защита почтовой переписки.

secur pc w etoken 350x200 enter rohos

Дополнительные материалы

Купить электронные ключи eToken вы можете в нашей компании.

Источник

Защищённый вход в windows при помощи usb-токенов и смарт-карт etoken

С момента появления операционной системы Microsoft Windows, поддерживающей авторизацию пользователя при доступе к компьютеру, прошло достаточно большое количество времени, за которое свет увидел немало версий этой операционной системы, но, к сожалению, сама процедура авторизации в ней осталась без изменений.

Как и прежде, для того чтобы осуществить вход в Windows необходимо ввести в системе имя пользователя и корректный пароль. Причём для повышения уровня защищённости системы этот пароль должен обладать определённой стойкостью, чтобы усложнить злоумышленнику задачу взлома или подбора пароля.

monitor and sticker

Тем не менее, решить эту задачу всё-таки возможно и такое решение уже давно присутствует в операционных системах Microsoft Windows, выпускаемых на сегодняшний день. Суть решения в применении смарт-карт или USB-токенов eToken для авторизации пользователя в Windows.

pass win token sc

Использование встроенных в Windows механизмов аутентификации пользователей по смарт-картам и USB-ключам eToken больше подходит для корпоративного сегмента, где компьютеры подключены к информационной сети предприятия, так как проверка авторизационных данных происходит на сервере компании.

Выход из подобной ситуации в применении сторонних программных решений, например, eToken Windows Logon, eToken Network Logon, SafeNet Network Logon, JaCarta SecurLogon или Rohos Logon Key, позволяющих использовать смарт-карты и USB-ключи eToken для аутентификации пользователей на компьютерах и ноутбуках, как включённых в сеть предприятия, так и работающих автономно.

Применение подобных программных продуктов в значительной степени повышает уровень защищённости данных, так как становится возможным использование сложных паролей для входа в Windows, хранимых в защищённой ПИН-кодом памяти eToken. При этом такие пароли при авторизации не вводятся с клавиатуры, а значит, исключается риск того, что пароль будет перехвачен или подсмотрен третьими лицами в то время, когда пользователь будет осуществлять доступ к компьютеру.

Источник

Импорт сертификата

1. Выбрать в списке токен, нажать кнопку “Импортировать сертификат”, полученный сертификат вставить в форму ввода, нажать кнопку “Импортировать”:

2. При импорте выбрать тип сертификата “Пользовательский”:

3. После этого появится окно с отображением сертификата и сообщением об успешном импорте на Рутокен ЭЦП (на картинке приведен пример импорта тестового сертификата, полученного в тестовом УЦ):

4. Сертификат отобразится в списке:

Как настроить браузер для работы с эцп

Квалифицированная электронная подпись используется в различных сферах для обеспечения юридической значимости действий её владельца. Но пользователи часто сталкиваются с проблемой: браузер не видит электронную подпись.

Разберёмся с тем, как избежать подобную проблему и настроить четыре популярных браузера для работы с электронной подписью.

Настройка bus gov на windows 10

Информация обновлена: 12.06.2022

Настройка учетной записи

Если при входе в личный кабинет отобразилось сообщение:

Источник

Общая информация

Чтобы получить доступ к порталу Госуслуги необходимо наличие подтвержденной учетной записи физического лица.

Войти в свою учетную запись можно по электронной подписи. Такой способ является самым безопасным.

Электронная подпись (ЭП) — это средство для защиты конфиденциальности и целостности электронных документов (файлов). С помощью нее можно подписывать юридически значимые документы и осуществлять электронный документооборот. ЭП выполняет две основные функции: подтверждает, что документ подписал именно владелец подписи, и фиксирует документ — после создания и подписания изменения уже невозможны.

В электронном документообороте применяется два вида ЭП:

На портал Госуслуги можно войти при помощи простой или квалифицированной ЭП. Но только квалифицированная ЭП позволяет пользоваться всеми сервисами портала.

Квалифицированная ЭП имеет юридическую значимость, она равнозначна собственноручной подписи.

Квалифицированную ЭП можно получить только в аккредитованных удостоверяющих центрах (УЦ).

Безопаснее всего хранить ЭП на Рутокене:

Рутокен — это криптографическое устройство, предназначенное для безопасного хранения ЭП.

Нельзя передавать ЭП другим людям.

Нельзя хранить ЭП в открытом доступе.

Если злоумышленник украл вашу ЭП, то нужно сразу обратиться в УЦ и отозвать ее.

Определение названия модели рутокена

Чтобы определить название модели Рутокена, подключите его к компьютеру, откройте Панель управления Рутокен и посмотрите на значение в поле Подключенные Рутокен.

Если модель вашего устройства Рутокен ЭЦП 2.0, то перейдите к процедуре определение типа сертификата.

Если модель вашего устройства Рутокен Lite или Рутокен S, то перейдите к процедуре установка КриптоПро CSP и добавление сертификата в хранилище Личное.

Определение типа сертификата

Чтобы определить тип сертификата:

Ошибка при установлении защищённого соединения

Необходимо использовать Internet Explorer.

Полное руководство по настройке пк для работы с электронной подписью

В случае, если у вас отсутствуют предустановленные криптопровайдеры, нажмите на ссылку «КриптоПРО 5.0» ниже для загрузки файла установки КриптоПРО на компьютер.

Рис.1 – Установка КриптоПРО

Пропустите окно, нажав «Далее». Установка КриптоПРО завершена.

Таблица 1 – Драйверы для защищенных носителей

Внешний вид USB-носителя

Ссылка на загрузку драйверов

ruToken

6

12345678

eToken

7

1234567890

JaCarta LT

8

1234567890

MS-Key

9

11111111

Esmart *

11

12345678

JaCarta LT Nano

JaCartaГОСТ

JaCartaS/E

Смена pin-кода

Пароль можно изменить в Панели управления Рутокен.

Чтобы установить эту программу необходимо загрузить и установить комплект драйверов Рутокен.

Актуальная версия комплекта драйверов доступна на странице:

После установки на рабочем столе компьютера отобразится ярлык Панели управления Рутокен.

Для Рутокена задан PIN-код, его необходимо ввести в процессе подписания документа или файла.

По умолчанию его значение — 12345678.

Чтобы сменить PIN-код:

Дальнейшие действия будут зависеть от того, какая у вас модель Рутокена. Поэтому на следующем шаге необходимо это определить.

У этой записи 11 комментариев

Добрый день! Сделал все как в инструкции, не могу зайти в личный кабинет «Не удается открыть эту страницу»

Нет инструкции по настройке браузера

У меня проходит авторизация через ЭЦП, переадресовывает обратно на закупки после ввода пин-кода ЭЦП, выбираю заригистрироваться как физ лицо или ип и выдает ошибку — Произошла неизвестная сетевая ошибка. Пожалуйста, проверьте сетевое соединение и корректность работы криптоПРО.

Установка etoken в windows 10

Для того чтобы смарт-карты и USB-ключи eToken, предназначенные для обеспечения защищённой двухфакторной аутентификации пользователей при доступе к различным информационным ресурсам конфиденциального характера, полноценно функционировали в операционной системе Windows 10, необходимо установить соответствующие драйверы.

В данном обзоре приведём пример установки драйвера и дополнительных утилит для работы с eToken из состава пакета SafeNet Authentication Client (SAC) версии 9.0.43. Установку осуществим в ОС Windows 10 Корпоративная редакция (64-бит).

Установка SafeNet Authentication Client на компьютерах под управлением 32-битной версии операционной системы Windows 10, а также других, поддерживаемых SAC, операционных систем семейства Microsoft Windows производится аналогично.

Итак, после того, как вы скачали дистрибутив SafeNet Authentication Client, переходим непосредственно к его установке:

  • Авторизуйтесь в операционной системе с административными правами
  • Закройте все открытые приложения
  • Запустите на выполнение файл SafeNetAuthenticationClient-x32-x64-9.0.exe, входящий в состав дистрибутива SAC и расположенный в папке “EXE Installer”
  • В появившемся окне приветствия нажмите кнопку “Next” (Далее)

Установка SAC для eToken в Windows 10, шаг 1

  • В выпадающем списке выберите необходимый язык интерфейса SAC из предложенного перечня доступных языков
  • Для перехода к лицензионному соглашению нажмите кнопку “Next” (Далее)

Установка SAC для eToken в Windows 10, шаг 2

  • Ознакомьтесь с предложенным лицензионным соглашением. Если вы согласны с его условиями, то выберите пункт “I accept the license agreement” (Я принимаю условия лицензионного соглашения) и нажмите кнопку “Next” (Далее)
  • В ином случае нажмите кнопку “Cancel” (Отмена) – для отказа от установки

Установка SAC для eToken в Windows 10, шаг 3

  • Если вы согласились с условиями лицензионного соглашения в предыдущем пункте, то на экране появится окно выбора места установки
  • Кнопкой “Change” (Изменить) укажите место на диске, куда необходимо установить SAC или оставьте путь по умолчанию
  • Для начала установки пакета нажмите кнопку “Next” (Далее)

Установка SAC для eToken в Windows 10, шаг 4

  • Вам будет предложено выбрать тип установки – “Typical”, содержащий необходимые в большинстве случаев компоненты, либо “Custom”. Во втором случае предоставляется возможность самостоятельно выбрать устанавливаемые компоненты из состава SAC. В текущем примере остановимся на варианте “Typical”, подходящим для большинства пользователей
  • Для продолжения установки нажмите кнопку “Next” (Далее)

Установка SAC для eToken в Windows 10, шаг 5

  • На данном этапе установки предлагается возможность приступить к непосредственной установке драйверов и утилит eToken (кнопка “Install”)
  • Как вариант, вы ещё можете вернуться назад, если необходимо сделать какие-то изменения в предыдущих пунктах инсталляции пакета SAC. Для возврата в предыдущее меню нажмите кнопку “Back” (Назад)

Установка SAC для eToken в Windows 10, шаг 6

  • В случае если вы выбрали в предыдущем меню старт установки, то начнётся установочный процесс, сопровождаемый шкалой выполнения

Установка SAC для eToken в Windows 10, шаг 7

  • По завершении инсталляции пакета SAC откроется соответствующее окно, закрыть которое вы можете нажатием кнопки “Finish” (Закончить)

Установка SAC для eToken в Windows 10, шаг 8

На этом процесс установки утилит и драйвера eToken из состава пакета SafeNet Authentication Client 9.0.43 завершён

✔ Дополнительные видеоматериалы

  • Установка SafeNet Authentication Client 10.8 в Windows 10

Установка корневых сертификатов

1. Корневой сертификат Головного удостоверяющего центра (ГУЦ, он же Минкомсвязь). Инструкция по установке корневого сертификата ГУЦ.

2. Корневой сертификат Удостоверяющего центра Федерального казначейства (УЦ ФК) или коммерческого удостоверяющего центра (Контур, Такском, Тензор и т.д.), в зависимости от того каким УЦ выпущен ваш сертификат электронной подписи. Инструкция по установке корневого сертификата УЦ ФК.

Центр регистрации

Для генерации ключа, создания запроса и записи сертификата мы сделали набор web-страниц, который условно назвали Центр регистрации. Этот Центр регистрации не требует серверной части, все операции осуществляются на клиенте. Для работы Центра регистрации требуется установка Рутокен Плагин.

Центр регистрации позволяет:

Вместо заключения

Концепция аппаратных СКЗИ, выполненных в различных форм-факторах, может быть востребована в массовых проектах, ориентированных на физлиц. В первую очередь за счет упрощения использования криптографии. Плагины, осуществляющие интеграцию браузера и аппаратных криптографических решений должны развиваться в сторону увеличения легкости установки и расширения возможностей. Тогда эти решения будут чаще и больше использовать.

Для того, чтоб была возможность выдачи квалифицированных сертификатов на Рутокен ЭЦП, которые можно было бы использовать с плагином Госуслуг или с Рутокен Плагин, сделана локальная версия Центра регистрации, ее можно использовать непосредственно в точках выдачи сертификатов.

Похожее:  ВХОД В МОЙ ЛИЧНЫЙ КАБИНЕТ ПО НОМЕРУ ТЕЛЕФОНА ОФИЦИАЛЬНЫЙ САЙТ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *