A kéttényezős hitelesítés a felhasználók - eToken - adminskie skazki
Minél magasabb az érték az információ, amelyhez a felhasználó hozzáfér, annál jobb az információt védi. Legalább is kell lennie. A gyakorlatban gyakran a terület lehatárolása a felhasználói jogok - a rendetlenség. Az első lépés a rend helyreállítása érdekében hozzárendelés egyedi minden felhasználói fiók a rendszerben, és megszünteti a lehetőségét bejelentkezéssel álnéven. Először is, azt mondjuk a felhasználók eltávolíthatják üres jelszó (ha ebben a pillanatban még nem tiltott a politika), és a felhasználók a becsületes egyének ki jelszavak, mint „1234” vagy „Year of Birth”. Ezután a házirend követelményeinek jelszó összetettségét (például hat karakter, meg kell néznünk különböző nyilvántartások - például aB1234) - a felhasználók, mint egy csapat írási jelszavakat darab papírt, és penész a monitoron. Ez kimeríti a lehetőségeket a módszer, „Tudom”, hogy a felhasználók hitelesítéséhez. Egy másik lehetőség - módszert használja, hogy „én” - ujjlenyomat, retina (túl egzotikus), vagy egy eszköz. Egy példa egy ilyen eszköz egy család termékek eToken Aladdin orosz cég.
Zseton lehet használni nem csak a biztonságos belépés a szervezet, hanem, hogy zárolja a számítógépet, amíg a felhasználó el. Most egyszerűen csinálni a szervezetek, amelyek az RFID-címkét, hogy nyissa ki a zárat az ajtón. Csak azt kell, hogy kötelezze a tokeneket beépített címkét. Ebben az esetben a felhasználó, így a számítógép lesz kénytelen felvenni a token velük, ami automatikusan vezet a blokkoló a munkaállomás (a megfelelő csoportházirend-beállítás).
Tehát, hogy adja meg a szervezet a tartományt az token kell lennie:
- Nyissa meg a tanúsító hatóság egy tartományvezérlő;
- Telepítse a Free Software token (eToken PKI kliens) a felhasználó számítógépére;
- Initialise zsetonok;
- Végezze konfiguráció zsetont.
Ha a bemenet a szervezet a munkacsoport, hogy:
- Vásárolt eToken Windows Logon (licenc költségek mintegy 300 rubelt a szervezet számára);
- Telepítse a Free Software token (eToken PKI kliens), eToken Windows Logon felhasználó a gépen;
- Initialise zsetonok;
- Állítsa be a token, hogy jelentkezzen be minden egyes gép (konfiguráció csak akkor lesz érvényes, ez a gép).
Telepítése CA.
A szoftver telepítése az ügyfél gépén
Töltse le a eToken PKI kliens termék a gyártótól. Ehhez menj a letöltés szekcióba. Figyelem! Nem kell használni a terméket RTE - ez egy régi verzió, amelynek formáját kriptokonteynera token nem kompatibilis az új ág PKI kliens. Az első változat PKI kliens (4,5) volt a kis hibák (bírságok kapcsolódó felületet, és memóriavesztés, amikor kihajtott interface), amely nem akadályozta meg, hogy használja azt teljes térfogata. A termék beszerelése nem okoz problémát. Tény, hogy csak ki kell választania a felhasználói felület nyelvét. A méret a telepítőcsomag (MSI) lehetővé teszi, hogy a távoli termék telepítése a beállított tartomány gépek. A munkacsoport, akkor is kell telepíteni eToken WinLogon
Inicializálás zsetont.
Inicializálása végezzük a eToken PKI kliens. Selyem, kattintson a jobb gombbal a tálca ikonra alkalmazást és válassza ki az „Open tulajdonságok eToken”. A megnyíló ablakban kattintson a „Speciális”, majd válassza az elemeket a fa csatlakozik a számítógéphez token, majd kattintson a „Format” a helyi menüből.
Azt is nyomja a „eToken inicializálása”. A megnyíló ablakban adja meg a token neve (használom a bejelentés PODRAZDELENIE_OTDEL_INITSIALY), a felhasználói kódot, a számos sikertelen PIN-kódot a készülék lezárásához. Azt is meg kell adnia egy rendszergazdai jelszót, amelyet nem léphet be a felhasználó nevét, mindazonáltal lehetővé teszik kinyit token, illetve annak az újraindítását. A rendszergazda jelszavát (a hosszabb, annál jobb), akkor meg ugyanaz az összes zsetont.
Configuration zsetonok egy domain.
Minden felhasználó kiadhatja a tokent. A token lesz érvényes, hogy jelentkezzen be minden tartományban autó.
Configuration token munkacsoport.
WinLogon alkalmazás helyettesíti a standard könyvtár bejegyzést felület a Windows msgina.dll.
Nyissa meg a Profile Manager „Program-eToken-eToken Windows Logon-profil létrehozása varázsló», kattintson a "Tovább" gombra. A következő ablakban lehet kiválasztani a felhasználói neveket a rendszer és a számítógépes hálózat, amelyre a token érvényes lesz. Ha a számítógép egy tartomány, a lista «Jelentkezzen be» az alábbi két pontot, a vonatkozó bekezdésében domain nevet adja meg a domain nevet és a számítógép neve a hálózatban -, hogy jelentkezzen be helyben. A következő ablakban ki lehet választani a hitelesítés típusát - egyirányú (lépnie szúrni a token elég), vagy két-faktor (ezen kívül kell tárcsázni PIN token). Ezután meg kell adnia egy jelszót, amely tárolásra kerül a memóriában a token, és bemutatta a rendszerindítás a felhasználó megadott neve az első lépést. Ebben az ablakban is van lehetősége helyett a jelenlegi felhasználó jelszavát automatikusan a program által generált (jelszó hossza állítható). Attól függően, hogy a felhasználó a varázsló, akkor lehet, hogy a jelenlegi jelszót, a felhasználó a rendszerben. A jelszó megadása után meg kell nyomni a „Tovább” gombra, és a következő ablak - a „Befejezés”.
Az ablakban ki kell választani a token, ami lesz írva Windows bejelentkezési profilt, és adja meg a PIN-kódot a token, majd kattintson az „OK.”