настройка двухфакторной аутентификации при входе в windows · мультифактор

Перечень критериев

В таблице приведены критерии качества PIN-кода и указаны их настраиваемые значения. В качестве значения критерия может быть использована отрицательная величина, выраженная в процентах. Такое значение называется штрафом.

СтандартОписаниеВозможные значенияЗначения по умолчанию
ABCOrderPIN-код содержит последовательность символов в алфавитном порядке-100% – 0%-10%
ABCOrderBaseДлина последовательности символов для критерия ABCOrder2% – 100%3%
CheckCurrPassНовый пароль равен текущему-100% – 0%-100%
CheckDictionaryПароль из словаря-100% – 0%-100%
CheckOldPassesНовый пароль равен одному из предыдущих-100% – 0%0%
DefaultPassChangeСмена пароля, принятого по умолчаниюNone (смена пароля не требуется)

Warning (выводится сообщение с предупрежде- нием)

Enforce (использование пароля по умолчанию невозможно)

Enforce
Dictionary файл словаряАбсолютный путь к файлу словаряНе задано
DigitsOnlyПароль только из цифр-100% – 0%-5%
DuplicatesНаличие двух одинаковых символов-100% – 0%-20%
ExpiryСрок действия до появления предупреждения о смене пароля0 – 3650 дней360
ExpiryEnforceМаксимальный срок действия в днях0 – 36500 (не установлен)
KeyboardProximityНаличие нескольких символов в том же порядке, как на клавиатуре-100% – 0%-10%
KeyboardProximity BaseДлина последовательности символов для предыдущего параметра2 – 1003
LikeDictionaryПароль похож на пароль из словаря-100% – 0%-80%
MinChangePeriodМинимальный срок действия в днях0 – 36500 (не установлен)
MinimalLengthМинимальная длина в символах0 – 1004
MinimalQualityМинимальная стойкость в процентах0 – 10030
NoDigitsОтсутствие цифр-100% – 0%-5%
NoLowerCaseОтсутствие строчных букв-100% – 0%-5%
NonPrintableИспользование букв русского алфавита, непечатаемых и некоторых служебных символов-100% – 0%-100%
NoPunctuationОтсутствие знаков препинания и служебных символов-100% – 0%-5%
NoUpperCaseОтсутствие прописных букв-100% – 0%-5%
OptimalLengthРекомендуемая длина в символах0 – 10012
PhonesandSerialNumbersИспользование в пароле номеров телефонов, серийных номеров и т.п.-100% – 0%-5%
RepeatingНаличие повторяющихся символов-100% – 0%-20%
SaveOldPassesКоличество использованных ранее паролей, хранящихся в памяти eToken для проверки по критерию CheckOldPasses0-203
SmallPasswordДлина пароля меньше WarningLength-100% – 0%-5%
WarningLengthЕсли длина пароля меньше этого параметра, при проверке качества пароля выдаётся предупреждение0-1006
WhiteSpacesПароль содержит символы пробела-100% – 0%-100%
Похожее:  Как восстановить логин и пароль в БК Мелбет?

Словарь

Вход в windows с помощью etoken

Общие сведения

eToken SecurLogon совмещает эффективную защиту сети с удобством и мобильностью. При аутентификации в Windows используются имя пользователя и пароль, хранящиеся в памяти eToken. Это даёт возможность применять строгую аутентификацию на основе токенов.

Вместе с тем хотелось бы добавить, что в крупных компаниях, использующих доменную структуру, необходимо подумать о внедрении PKI и централизованном применении SmartCardLogon.

При использовании eToken SecurLogon могут применяться никому не известные случайные сложные пароли. Кроме того, предусмотрена возможность использования сертификатов, хранящихся в памяти eToken, для регистрации на основе смарт-карт, что повышает безопасность входа в Windows.

Это стало возможным благодаря тому, что система Windows 2000/XP позволяет использовать различные механизмы доступа, заменяющие метод аутентификации по умолчанию. Механизмы идентификации и аутентификации службы входа в Windows (winlogon), обеспечивающей интерактивную регистрацию в системе, встроены в заменяемую динамически подсоединяемую библиотеку (DLL)

, именуемую GINA (Graphical Identification and Authentication, рабочий стол аутентификации). Когда система нуждается в ином методе аутентификации, который бы заменил механизм “имя пользователя/пароль” (используемый по умолчанию) стандартную msgina.dll заменяют новой библиотекой.

При установке eToken SecurLogon заменяется библиотека рабочего стола аутентификации и создаются новые параметры реестра. GINA отвечает за политику интерактивного подключения и осуществляет идентификацию и диалог с пользователем. Замена библиотеки рабочего стола аутентификации делает eToken основным механизмом проверки подлинности, расширяющим возможности стандартной аутентификации Windows 2000/XP, основанной на применении имени пользователя и пароля.

Пользователи могут самостоятельно записывать в память eToken информацию, необходимую для входа в Windows (профили), если это разрешено политикой безопасности предприятия.
Профили можно создавать с помощью мастера создания профилей eToken Windows Logon.

Приступая к работе

eToken SecurLogon аутентифицирует пользователя Windows 2000/XP/2003 c помощью eToken, используя либо сертификат пользователя со смарт-картой, либо имя пользователя и пароль, которые хранятся в памяти eToken. eToken RTE включает в себя все необходимые файлы и драйверы, обеспечивающие поддержку eToken в eToken Windows Logon.

Минимальные требования

Условия для установки eToken Windows Logon:

  • на всех рабочих станциях должен быть установлен eToken Runtime Environment (версии 3.65 или 3.65);

  • eToken SecurLogon устанавливается на компьютер с Windows 2000 (SP4), Windows XP (SP2) или Windows 2003 (SP1). eToken SecurLogon поддерживает классический диалог приветствия Windows (но не новый экран приветствия Windows XP) и не поддерживает режим быстрой смены пользователя в Windows XP.

Поддерживаемые токены

eToken SecurLogon поддерживает следующие устройства eToken:

  • eToken PRO – USB-ключ, позволяющий производить двухфакторную аутентификацию. Доступен в версиях 32К и 64К;

  • eToken NG-OTP – гибрид USB-ключа и устройства, генерирующего одноразовые пароли. Доступен в версиях 32К и 64К;

  • смарт-карта eToken PRO – устройство, выполняющее те же функции, что и USB-ключ, но имеющее форму обычной кредитной карты. Доступна в версиях 32К и 64К.

eToken Runtime Environment (RTE)

eToken Runtime Environment (RTE) содержит все файлы и драйверы, обеспечивающие поддержку eToken в eToken Windows Logon. В этот набор также входит утилита “Свойства eToken” (eToken Properties), позволяющая пользователю легко управлять PIN-кодом и именем eToken.

Все новые eToken имеют один и тот же PIN-код, установленный по умолчанию при производстве. Этот PIN-код 1234567890. Для обеспечения строгой, двухфакторной аутентификации и полной функциональности пользователь обязательно должен заменить PIN-код по умолчанию собственным PIN-кодом сразу после получения нового eToken.

Важно: PIN-код не следует путать с паролем пользователя Windows.

Установка

Для того чтобы установить eToken Windows Logon:

  1. войдите в систему как пользователь с правами администратора;

  2. дважды щёлкните SecurLogon – 2.0.0.55.msi;

  3. появится окно мастера установки eToken SecurLogon (рис. 11);

  4. нажмите кнопку “Next”, появится лицензионное соглашение eToken Enterprise;

  5. прочитайте соглашение, нажмите кнопку “I accept” (Принимаю), а затем кнопку “Next”;

  6. в конце установки производится перезагрузка.

Автоматическая генерация пароля.

При записи профиля пользователя в память eToken пароль может генерироваться автоматически или вводиться вручную. При автоматической генерации формируется случайный, длиной до 128 символов, пароль. При этом пользователь не будет знать свой пароль и не сможет войти в сеть без ключа eToken. Требование использования только автоматически сгенерированных паролей может быть настроено как обязательное.

Использование eToken SecurLogon

eToken SecurLogon позволяет пользователям регистрироваться в Windows 2000/XP/2003 при помощи eToken с записанным в памяти паролем.

Смена пароля

Вы можете сменить пароль Windows после входа в систему при помощи eToken.
Для того чтобы сменить пароль после входа в систему при помощи eToken:

  1. войдите в систему, используя eToken;

  2. нажмите “CTRL ALT DEL”, появится окно “Безопасность Windows / Windows Security”;

  3. Щёлкните кнопку “Смена пароля / Change Password”, если текущий пароль был создан вручную, то появится окно “Смена пароля / Change Password”, но если текущий пароль был создан случайным образом, то переходим к пункту 5;

  4. Введите новый пароль в полях “Новый пароль / New Password” и “Подтверждение / Confirm New Password” и нажмите кнопку “OK”;

  5. Если текущий пароль был создан случайным образом, то и новый пароль будет создан автоматически;

  6. в появившемся диалоговом окне введите PIN-код eToken и нажмите кнопку “OK”

  7. появится окно с подтверждающим сообщением.

Защита сеанса пользователя

Вы можете использовать eToken для обеспечения безопасности вашего рабочего сеанса.

Блокировка вашей рабочей станции

Вы можете обеспечивать безопасность вашего компьютера, не выходя из системы, путем блокировки компьютера. При отсоединении eToken от порта USB или кабеля (после удачной регистрации) операционная система автоматически заблокирует ваш компьютер.

Для того чтобы разблокировать ваш компьютер:

Когда ваш компьютер заблокирован, появляется окно “Блокировка компьютера Computer Locked”. Подключите eToken к порту USB или кабелю. В появившемся окне введите PIN-код в поле “eToken Password” и нажмите кнопку “OK” – компьютер разблокирован.
Примечание: в случае нажатия “CTRL ALT DEL” и ввода пароля компьютер будет разблокирован без использования eToken.

Установка

Для того чтобы установитьeTokenWindowsLogon:

  • войдите в систему как пользователь с правами администратора;
  • дважды щёлкните SecurLogon — 2.0.0.55.msi;
  • появится окно мастера установки eToken SecurLogon (рис. 11);
  • нажмите кнопку «Next», появится лицензионное соглашение eToken Enterprise;
  • прочитайте соглашение, нажмите кнопку «Iaccept» (Принимаю), а затем кнопку «Next»;
  • в конце установки производится перезагрузка.

Рисунок 11 Установка SecurLogon

Установка с помощью командной строки:eToken SecurLogon можно устанавливать, используя командную строку: msiexec /Option [необязательный параметр] Параметры установки:

  • – установка или настройка продукта;
  • /a – административная установка – установка продукта в сеть;
  • /j [/t ] [/g ]

Объявление о продукте:

      • «m» – всем пользователям;
      • «u» – текущему пользователю;
  • – отмена установки продукта.
  • /quiet – тихий режим, без взаимодействия с пользователем;
  • /passive – автоматический режим – только индикатор выполнения;
  • /q[n|b|r|f] – выбор уровня интерфейса пользователя;
      • n – без интерфейса;
      • b – основной интерфейс;
      • r – сокращенный интерфейс;
      • f – полный интерфейс (по умолчанию);
  • /help – вывод справки по использованию.
    • /norestart – не перезапускать после завершения установки;
    • /promptrestart – запрашивать переустановку при необходимости;
    • /forcerestart – всегда запускать компьютер после завершения установки.

    Параметры ведения журнала /l[i|w|e|a|r|u|c|m|o|p|v|x| |!|*] ;

    • i – сообщения о состоянии;
    • w – сообщения об устранимых ошибках;
    • e – все сообщения об ошибках;
    • a – запуски действий;
    • r – записи, специфические для действия;
    • u – запросы пользователя;
    • c – начальные параметры интерфейса пользователя;
    • m – сведения о выходе из-за недостатка памяти или неустранимой ошибки;
    • o – сообщения о недостатке места на диске;
    • p – свойства терминала;
    • v – подробный вывод;
    • x – дополнительная отладочная информация;
    • – добавление в существующий файл журнала;
    • ! – сбрасывание каждой строки в журнал;
    • * – заносить в журнал все сведения, кроме параметров «v» и «x» /log равнозначен /l* .
    • /update [;Update2.msp] – применение обновлений;
    • /uninstall [;Update2.msp] /package – удаление обновлений продукта.

    Параметры восстановления: /f[p|e|c|m|s|o|d|a|u|v] Восстановление продукта:

      • p – только при отсутствии файла;
      • o – если файл отсутствует или установлена старая версия (по умолчанию);
      • e – если файл отсутствует или установлена такая же или старая версия;
      • d – если файл отсутствует или установлена другая версия;;
      • c – если файл отсутствует или контрольная сумма не совпадает с подсчитанным значением;
      • a – вызывает переустановку всех файлов;
      • u – все необходимые элементы реестра, специфические для пользователя (по умолчанию);
      • m – все необходимые элементы реестра, специфические для компьютера (по умолчанию);
      • s – все существующие ярлыки (по умолчанию);
      • v – запуск из источника с повторным кэшированием локальных пакетов;

    Настройка общих свойств: [PROPERTY=PropertyValue] Обратитесь к руководству разработчиков Windows (R) Installer за дополнительными сведениями по использованию командной строки.

    Авторизация в домене ms windows server по ключам

    Авторизация по ключам в домене MS Windows Server

    Гораздо более сильным, чем пара логин/ пароль, способом регистрации сотрудника в информационной системе
    фирмы являются электронные ключи-токены. Токен есть принципиально невзламываемый чип, который содержит подписанный
    сертификат пользователя.

    Домен Windows Server 2008/ 2003 поддерживает авторизацию по электронным ключам (при помощи
    встроенного сервера сертификатов), причем для усиления безопасности такой способ авторизации может быть объявлен единственно
    возможным – с запретом входа в систему по традиционной паре логин/ пароль. При этом вход по токену осуществляется как при
    логине на персональный компьютер или терминал – участник домена Windows Server, так и при попытке авторизации на сервере в режиме терминального доступа.

    При извлечении карты доступ к компьютеру или серверу немедленно блокируется, для повторного входа нужно набрать уникальный
    пин-код. Сервер сертификатов, встроенный в любую версию MS Windows Server Standard и выше, осуществляет централизованное
    управление выдачей цифровых сертификатов стандарта X.509 и их привязку к пользователям домена, позволяет устанавливать
    сроки действия сертификатов, отзывать их и выпускать новые.

    Ключи-токены выпускаются либо в виде USB-брелка, либо в виде смарт-карты, в последнем случае в компьютере или терминале
    должен быть установлен специальный считыватель смарт-карт. Преимущество смарт-карты состоит в том, что в нее может быть
    встроена RFID-метка, и карта становится универсальным средством доступа как в помещения фирмы,
    так и в компьютерную сеть.

    Некоторые модели ключей eToken поддерживают российиские алгоритмы шифрования и сертифицированы ФСБ России

    WIT Company оказывает услуги по введению системы доступа к информационным ресурсам предприятия с помощью е-токенов и смарт карт фирмы Аладдин Р.Д.

    Сервер сертификатов MS Windows Server 2008 – запрос сертификата:

    Авторизация по ключам в домене MS Windows Server оснастка

    Права доступа к etoken

    В зависимости от модели eToken и параметров, выбранных при форматировании, можно выделить четыре типа прав доступа к eToken:

    • гостевой – возможность просматривать объекты в открытой области памяти; возможность получения из системной области памяти общей информации относительно eToken, включающей имя eToken, идентификаторы и некоторые другие параметры. При гостевом доступе знание PIN-кода не обязательно;

    • пользовательский – право просматривать, изменять и удалять объекты в закрытой, открытой и свободной областях памяти; возможность получения общей информации относительно eToken; право менять PIN-код и переименовывать eToken; право настраивать параметры кэширования содержания закрытой области памяти и дополнительной защиты закрытых ключей паролем (при отсутствии пароля администратора или с разрешения администратора), право просмотра и удаления сертификатов в хранилище eToken и ключевых контейнеров RSA;

    • администраторский – право менять PIN-код пользователя, не зная его; право смены пароля администратора; право настраивать параметры кэширования содержания закрытой области памяти и дополнительной защиты закрытых ключей паролем, а также возможность делать эти настройки доступными в пользовательском режиме;

    • инициализационный – право форматировать eToken PRO.

    К eToken R2 относятся только первые два типа прав, к eToken PRO и eToken NG-OTP – все четыре.

    Администраторский доступ к eToken PRO может быть произведен только после правильного ввода пароля администратора. Если же в процессе форматирования пароль администратора не задан, то обратиться с правами администратора нельзя.

    Утилита «свойства etoken»

    Рисунок 8 Окно программы «Свойства eToken»

    Утилита «Свойства eToken» позволяет выполнять основные операции по управлению токенами, такие как смена паролей, просмотр информации и сертификатов, расположенных в памяти eToken. Кроме того, с помощью утилиты «Свойства eToken» можно быстро и легко переносить сертификаты между компьютером и eToken, а также импортировать ключи в память eToken.

    Кнопка «Разблокировать» необходима, если пользователь забыл свой PIN-код, и не может прийти к администратору eToken (например, пользователь находится в командировке). Обратившись к администратору по e-mail, пользователь сможет получить для этого eToken от администратора шестнадцатиричный запрос, сформированный на основании данных, хранящихся в базе TMS, внеся который в поле «ответ» пользователь получит доступ на смену PIN-кода.

    Рисунок 9 Вкладка компьютер

    Смена PIN-кода осуществляется согласно рис. 10:

    Рисунок 10 Смена PIN-кода

    При смене PIN-кода необходимо чтобы новый PIN-код соответствовал требованиям качества введенного пароля. Качество пароля проверяется согласно введенным критериям.

    Для того чтобы проверить соответствие пароля выбранным критериям, введите пароль в строку. Под этой строкой выводится информация о причинах несоответствия введённого пароля выбранным критериям в процентах, а также графически и в процентах условно отображается качество введённого пароля согласно выбранным критериям.

    Регистрация в windows

    Вы можете регистрироваться в системе Windows с помощью eToken, или вводя имя пользователя и пароль Windows.
    Настройка двухфакторной аутентификации при входе в Windows · Мультифактор

    Чтобы зарегистрироваться в Windows с помощью eToken:

    1. Перезагрузите ваш компьютер;
    2. Появится приветственное сообщение Windows;
    3. Если eToken уже подсоединён, щелкните по гиперссылке Logon Using eToken (регистрация при помощи eToken). Если eToken не был подсоединён, подключите его к порту USB или кабелю. При любом методе регистрации будет отображено окно «Вход в Windows / Log On to Windows»;
    4. Выберите пользователя и введите PIN-код eToken;
    5. Нажмите кнопку «OK». Вы открыли сеанс пользователя с помощью реквизитов, становленных в памяти eToken.
    6. Если вы используете eToken с сертификатом пользователя со смарт-картой, то вы должны ввести только PIN-код eToken, чтобы подключиться к компьютеру.

    Регистрация вWindows безeToken:

    1. перезагрузите ваш компьютер, нажмите сочетание клавиш CTRL ALT DEL, появится окно «Вход в Windows / Log On to Windows»;
    2. нажмите кнопку «OK» – вы вошли в систему при помощи имени пользователя и пароля.

    Использование командной строки

    Для установки и удаления eToken RTE 3.65, eToken RTE 3.65 RUI и eToken RTX можно использовать командную строку.

    Примеры команд:

    • msiexec /qn /i <pack.msi > – установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме без диалоговых окон с параметрами по умолчанию;

    • msiexec /qb /i <pack.msi> – установка eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме с параметрами по умолчанию и отображением процесса установки на экране;

    • msiexec /qn /x <pack.msi> – удаление eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме без диалоговых окон;

    • msiexec /qb /x <pack.msi> – удаление eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) в автоматическом режиме с отображением процесса удаления на экране.

    Первое подсоединение USB-ключа eToken к компьютеру

    Если на компьютере установлен eToken RTE 3.65, подключите eToken к порту USB или к удлинительному кабелю. После этого начнётся процесс обработки нового оборудования, который может занять некоторое время. По завершении процесса обработки нового оборудования на eToken загорится световой индикатор.

    Что такое etoken?

    eToken (рис. 1) – персональное устройство для аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронно-цифровой подписью (ЭЦП). eToken выпускается в виде:

    • eToken PRO – USB-ключ, позволяющий производить двухфакторную аутентификацию. Доступен в версиях 32К и 64К.

    • eToken NG-OTP – гибрид USB-ключа и устройства, генерирующего одноразовые пароли (One Time Password, OTP). Доступен в версиях 32К и 64К.

    • Смарт-карта eToken PRO – устройство, выполняющее те же функции, что и USB-ключ, но имеющее форму обычной кредитной карты. Доступна в версиях 32К и 64К.

    В дальнейшем мы будем говорить именно о USB-ключах, которые подключаются напрямую к USB порту компьютера и, в отличие от смарт-карты, не требует наличия специального считывателя.

    Ключ eToken Pro 64K
    Устройство eToken Pro 64K

    eToken обладает защищенной энергонезависимой памятью и используется для хранения паролей, сертификатов и других секретных данных.

    Смена пароля

    Вы можете сменить пароль Windows после входа в систему при помощи eToken. Для того чтобы сменить пароль после входа в систему при помощи eToken:

    1. войдите в систему, используя eToken;
    2. нажмите «CTRL ALT DEL«, появится окно «БезопасностьWindows / WindowsSecurity«;
    3. Щёлкните кнопку «Смена пароля / ChangePassword«, если текущий пароль был создан вручную, то появится окно «Смена пароля / ChangePassword«, но если текущий пароль был создан случайным образом, то переходим к пункту 5;
    4. Введите новый пароль в полях «Новый пароль / NewPassword» и «Подтверждение / ConfirmNewPassword» и нажмите кнопку «OK«;
    5. Если текущий пароль был создан случайным образом, то и новый пароль будет создан автоматически;
    6. в появившемся диалоговом окне введите PIN-код eToken и нажмите кнопку «OK«
    7. появится окно с подтверждающим сообщением.

    Как все это работает

    Весь функционал решения держится на замечательном проекте

    , опенсорсовом PHP софте, умеющим работать как с

    так и c

    , и даже с

    . Причем запустить эту красоту можно и в *nix и в Windows. Есть даже веб-интерфейс и релизы для систем виртуализации, но это уже вы сами копайтесь, мы размеберем минимально необходимый для старта набор действий.


    Привязка mutltiotp к окну входа в винду осуществляется при помощи плагина

    Пользователь будет генерировать одноразовые пароли у себя на компьютере или мобильном устройстве.

    Порядок действий указан на странице плагина, но в последней версии multiotp изменился синтаксис, поэтому я пробегусь по всем действиям для вас еще раз.

    Программное обеспечение для etoken. общие сведения.

    eToken Run Time Environment 3.65

    eToken Run Time Environment (eToken RTE) – набор драйверов eToken. В состав данного пакета программного обеспечения входит утилита “Свойства eToken” (eToken Properties). 
    С помощью данной утилиты можно:

    • настраивать параметры eToken и его драйверов;

    • просматривать общую информацию относительно eToken;

    • импортировать, просматривать и удалять сертификаты (за исключением сертификатов из хранилища eTokenEx) и ключевые контейнеры RSA;

    • форматировать eToken PRO и eToken NG-OTP;

    • настраивать критерии качества PIN-кодов.

    Для установки данного программного обеспечения необходимы права локального администратора. Следует помнить, что до установки eToken RTE нельзя подключать ключ eToken.

    Установку программного обеспечения необходимо проводить в следующем порядке:

    1. eToken RTE 3.65;

    2. eToken RTE 3.65 RUI (русификация интерфейса);

    3. eToken RTX.

    Настройка мультифактора

    1. Зайдите в Административную панель Мультифактора, далее в раздел “Ресурсы” и создайте новый ресурс типа “ОС / Сервер” – “Windows”.
    2. Заполните “Название”, “Адрес” и “Язык” по вашему усмотрению, установите переключатель в “Запретить доступ” в разделе “При подключении без настроенного второго фактора”
    3. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для следующего шага.
    4. Установите и настройте Radius адаптер, в файле конфигурации MultiFactor.Radius.Adapter.exe.config укажите следующие значения (value) параметров:
    1. На рабочей станции установите приложение MultifactorLogonSetup.exe, на втором шаге укажите следующие данные:
    2. В Административной панели Мультифактора создайте пользователя, с которым будете использовать второй фактор, и вышлите ему ссылку на настройку второго фактора на почту.
    3. Настройте второй фактор для пользователя.
    4. Система готова к использованию.

    Нюансы:

    1) Обязательно создайте пароли для всех, в том числе для администратора, иначе его не пустит в систему.

    2) Обязательно настройте точное время на серваке и на устройствах пользователей, иначе ваши ключи не будут работать. Дело не именно в точности, а в том что время там и там должно совпадать.

    3) Иногда не показывает в командной строке результат, но вы всегда можете почитать лог.

    4) Если вам интересно как прикрутить это красоту к домену — скажите, я попробую и отпишусь.

    5) Функционал огромный, все есть на

    multiotp: смс, QR, синхронизация, резервное копирование, привязка к чему угодно.


    Тем, кто информацию любит воспринимать наглядно может быть полезен этот

    Устройство etoken

    Компоненты технологии eToken PRO:

    • Чип смарт-карты Infineon SLE66CX322P или SLE66CX642P (EEPROM ёмкостью 32 или 64 КБ соответственно);

    • ОС смарт-карты Siemens CardOS V4.2;

    • Аппаратно реализованные алгоритмы: RSA 1024bit, DES, Triple-DES 168bit, SHA-1, MAC, Retail-MAC, HMAC-SHA1;

    • Аппаратный датчик случайных чисел;

    • Контроллер USB интерфейса;

    • Источник питания;

    • Корпус из твёрдого пластика, не поддающийся необнаружимому вскрытию.

    В устройство eToken NG-OTP дополнительно включены следующие компоненты:

    • Генератор одноразовых паролей;

    • Кнопка для их генерации;

    • ЖК-дисплей;

    Поддержка интерфейсов:

    • Microsoft CryptoAPI;

    • PKCS#11.

    Удаление вручную

    В том редком случае, когда вам потребуется удалить eToken SecurLogon вручную, предпримите следующие действия:

    • перезагрузите компьютер и загрузите его в безопасном режиме;
    • зарегистрируйтесь как пользователь с правами администратора;
    • при помощи редактора реестра откройте раздел HKEY_LOCAL_MAСHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon и удалите параметр «GinaDLL«;
    • gерезагрузите ваш компьютер, при следующей регистрации в Windows появится окно Microsoft Windows Logon.

    Генерация ключей

    Затем нужно создать ключ для каждого пользователя, заведенного на сервере. Подчеркну — мы говорим именно о локальных пользователях. У multiotp есть возможность привязки к ldap, но это слишком большая тема для одной статьи.

    Для создания пользователей потребуются 160-битные ключи HEX (т.е. 20 символов в шестнадцатеричной системе счисления). Вы можете (и должны) генерировать их у себя сами в защищенное среде, в лабораторных же целях я вам предложу этот генератор.

    Введение

    В настоящее время в связи с широким распространением компьютеров все чаще приходится задумываться о безопасности обрабатываемой информации. Первым шагом в обеспечении безопасности является аутентификация законного пользователя. Чаще всего в качестве средств аутентификации используется пароль.

    К тому же более 60% пользователей, как показывает практика, чаще всего использует одни и те же пароли к различным системам. Не стоит и говорить, что это существенно снижает уровень безопасности. Что делать? На мой взгляд, одним из вариантов решения проблемы будет использование аппаратных ключей аутентификации. Рассмотрим их применение подробнее на примере USB-ключей от фирмы Aladdin.

    Приложения для создания ключей

    Переконвертированные ключи нужно дать пользователю. Есть куча приложений для мобильных ОС, которые могут генерировать одноразовые пароли. Я люблю

    , он работает на большинстве ОС. Кому хочется побаловаться и не засорять мобильное устройство — можете поставить

    в браузер.


    Приложению или плагину нужно указать ключ, созданный на четвертом шаге. Там ничего сложного, думаю разберетесь сами.

    Конвертация ключей для пользователей

    Теперь нам нужно как-то передать пользователям их ключ, чтоб они могли у себя генерировать одноразовые пароли. Полноценный функционал multiotp позволяет через веб-интерфейс создать QR-код, который мы снимаем на наши телефоны и дальше работаем с ними.

    Нужно будет ключи, созданные на втором шаге переконвертировать из 160-битного HEX в Base32. Опять же лучше это делать у себя в защищенной среде, кому лень, вот вам

    Установка и удаление на локальном компьютере etoken rte 3.65

    В окне инсталлятора необходимо прочесть лицензионное соглашение и согласиться с ним.

    Если вы не согласны с условиями лицензионного соглашения, то нажмите кнопку “Cancel” и тем самым прервите процесс установки. Если вы согласны с лицензионным соглашением, то выберите пункт “I accept the license agreement” и нажмите кнопку “Next”. На экране вы увидите следующее окно:

    Установка займет некоторое время.  По окончании процесса инсталляции нажмите кнопку “Finish”.

    В конце установки может потребоваться перезагрузка компьютера.

    Для того чтобы разблокировать ваш компьютер:

    Когда ваш компьютер заблокирован, появляется окно «Блокировка компьютераComputerLocked«. Подключите eToken к порту USB или кабелю. В появившемся окне введите PIN-код в поле «eTokenPassword» и нажмите кнопку «OK» – компьютер разблокирован.

    Минимальные требования

    Условия для установки eToken Windows Logon:

    • на всех рабочих станциях должен быть установлен eToken Runtime Environment (версии 3.65 или 3.65);
    • eToken SecurLogon устанавливается на компьютер с Windows 2000 (SP4), Windows XP (SP2) или Windows 2003 (SP1). eToken SecurLogon поддерживает классический диалог приветствия Windows (но не новый экран приветствия Windows XP) и не поддерживает режим быстрой смены пользователя в Windows XP.

    Pin-код

    Для получения доступа к данным, хранящимся в памяти eToken, необходимо ввести PIN-код (Personal Identification Number). В PIN-коде не рекомендуется использовать пробелы и русские буквы. При этом PIN-код должен удовлетворять критериям качества, заданным в файле %systemroot%system32etcpass.ini.

    Редактирование этого файла, содержащего критерии качества PIN-кода, осуществляется с помощью утилиты eToken Properties.

    Проверка

    Не блокируя и не выходя из текущей сессии пользователя, подключитесь под пользователем, которому настроили второй фактор.

    • Если выбран способ подтверждения с одноразовым кодом, пользователь введет его в отдельном поле.

    • Если выбран способ подтверждения с пушем, Мультифактор пришлёт пуш выбранным методом, а компонент будет ожидать подтверждения или отказа от пользователя.

    Автоматическая генерация пароля.

    При записи профиля пользователя в память eToken пароль может генерироваться автоматически или вводиться вручную. При автоматической генерации формируется случайный, длиной до 128 символов, пароль. При этом пользователь не будет знать свой пароль и не сможет войти в сеть без ключа eToken. Требование использования только автоматически сгенерированных паролей может быть настроено как обязательное.

    Приступая к работе

    eToken SecurLogon аутентифицирует пользователя Windows 2000/XP/2003 c помощью eToken, используя либо сертификат пользователя со смарт-картой, либо имя пользователя и пароль, которые хранятся в памяти eToken. eToken RTE включает в себя все необходимые файлы и драйверы, обеспечивающие поддержку eToken в eToken Windows Logon.

    Etoken rte 3.65 rui

    УстановкаДля установки eToken RTE 3.65 RUI необходимо запустить программу установки.

    Рисунок 6 Установка eToken 3.65 RUI

    В появившемся окне (рис. 6) нажмите кнопку «Далее».

    Блокировка вашей рабочей станции

    Вы можете обеспечивать безопасность вашего компьютера, не выходя из системы, путем блокировки компьютера. При отсоединении eToken от порта USB или кабеля (после удачной регистрации) операционная система автоматически заблокирует ваш компьютер.

    Etoken в windows 10

    И так немного напомню, что такое etoken и для чего его используют. USB ключ etoken это защищенная такая флешка на которой находится сертификат безопасности, предназначенный для разных задач, на пример:

    Проверка работы сервиса

    Чтобы проверить корректную работу сервиса multiotp следует потестировать создаваемые ключи в командной строке следующим образом:

    Создание пользовательских ключей

    Команда создания пользователей выглядит так (само собой в cmd перейдите в директорию с распакованным multiotp):

    Установка сервиса multiotp

    multiotp и располагаем его где-нибудь на сервере. Я брошу в корень системного диска C:multiotp.

    Важно помнить

    Не завершайте сессию текущего пользователя до тех пор, пока не убедитесь, что всё корректно настроено и работает.

    Обновление

    Удалите “Multifactor Logon” из списка установленного в операционной системе ПО.
    Установите компонент заново.

    Устранение общих неполадок

    Вам может понадобиться произвести следующие действия для устранения общих неполадок:

    Защита сеанса пользователя

    Вы можете использовать eToken для обеспечения безопасности вашего рабочего сеанса.

    Подключение плагина авторизации в windows


    Осталось малое —

    Удаление компонента

    Удалите “Multifactor Logon” из списка установленного в операционной системе ПО.

    Поддерживаемые типы учётных записей

    1. Локальные
    2. Active Directory
    3. Учётные записи Microsoft

    Если что-то не работает

    Последовательно проверьте, что вы ничего не упустили:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *