В смарт-картах хранятся цифровые сертификаты, которые можно использовать для проверки подлинности. Смарт-карты более безопасны, чем имена и пароли, поскольку посторонний может узнать и использовать имя и пароль пользователя без его ведома. А вот смарт-картой трудно завладеть таким образом, чтобы об этом не узнал ее владелец. Если смарт-карта отсутствует, администратор может аннулировать сохраненный на ней сертификат. Поэтому украденная карта становится бесполезной.
Windows поддерживает стандарт PIV, изданный американским Национальным институтом стандартов и технологий (NIST). Поддержка этого стандарта позволяет Windows 7 получать драйверы для смарт-карт через Windows Update или PIV-совместимый мини-драйвер, входящий в состав Windows 7. Преимущество состоит в том, что вы можете использовать смарт-карты в Windows 7, не прибегая к специальному ПО сторонних разработчиков.
Смарт-карты позволяют вам внедрять на клиентах Windows 7 многофакторную проверку подлинности (multifactor authentication), которая требует, чтобы пользователь авторизовался с использованием двух и более независимых методов. Пользователю придется предоставить имя пользователя, пароль и смарт- карту или имя пользователя, пароль и биометрический идентификатор, например отпечаток пальца. Наиболее распространенной формой многофакторной проверки подлинности на клиентах Windows 7 является сочетание смарт-карты и пароля. Биометрическая проверка подлинности чаще используется на портативных изолированных клиентах Windows 7. Ее нельзя интегрировать в Active Directory без продуктов сторонних разработчиков.
В Windows 7 имеется несколько политик, относящихся к смарт-картам, размещенных в узле Конфигурация компьютера\Конфигурация Windows\IIapaметры безопасности\Локальные политики\Параметры безопасности (Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options):
· Интерактивный вход в систему: требовать смарт-карту (Interactive Logon: Require Smart Card) Если эта политика включена, пользователи могут войти в систему только с использованием смарт-карты. По умолчанию эта политика выключена, и пользователи могут входить в систему, используя любой способ.
· Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive Logon: Smart Card Removal Behavior) Эта политика определяет, как компьютер реагирует на удаление смарт-карты. Настройка по умолчанию: не предпринимать никаких действий. Имеются и другие варианты:
o Блокировка рабочей станции (Lock Workstation) Если пользователь удаляет смарт-карту, Windows 7 блокирует экран. Пользователь может разблокировать экран, повторно вставив смарт-карту.
o Принудительный выход из системы (Force Logoff) При извлечении смарт-карты пользователь принудительно выходит из системы.
o Отключение в случае удаленного сеанса служб удаленных рабочих столов (Disconnect If A Remote Desktop Services Session) Эта политика применяется к сеансам служб терминалов на Windows Server 2008. В Windows Server 2008 R2 служба терминалов переименована в службу удаленных рабочих столов (Remote Desktop Service). Этот параметр вызывает отключение от сеанса удаленного рабочего стола при удалении смарт-карты.
Дата добавления: 2015-08-17; просмотров: 103 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Настройка прав пользователя | | | Политики учетных записей |