Крипто-Про КриптоПро Winlogon (версия KDC 1 0, лицензия на один сервер) — купить лицензию КриптоПро Winlogon, цена в Ростове-на-Дону на официальном сайте

Крипто-Про КриптоПро Winlogon (версия KDC 1 0, лицензия на один сервер) — купить лицензию КриптоПро Winlogon, цена в Ростове-на-Дону на официальном сайте ЭЦП
На чтение 5 мин. Просмотров 3 Опубликовано
Содержание
  1. Архитектура аутентификации в windows
  2. Аутентификация по протоколу kerberos в microsoft® windows®
  3. Аутентификация с помощью смарт-карты
  4. Настройка exchange-сервера
  5. Настройка isa-сервера
  6. Настройка sql-сервера
  7. Настройка серверов других ос
  8. Поддерживаемые криптопро winlogon ключевые носители

Архитектура аутентификации в windows

В ОС семейства Windows применялось несколько различных методов авторизации и аутентификации пользователей: SMB, NTLM, Novell, RADIUS, Kerberos и т.п. На сегодняшний день большинство этих методов представляют лишь исторический интерес. Современные методы авторизации и аутентификации пользователей RADIUS (EAP)

и Kerberos являются открытыми промышленными стандартами и позволяют достичь любого необходимого уровня защиты  информации с помощью дополнительных методов аутентификации. КриптоПро Winlogon — расширяет метод первоначальной аутентификации PKINIT протокола Kerberos.

Аутентификация по протоколу kerberos в microsoft® windows®

В операционной системе Microsoft® Windows® 2000/XP/2003 аутентификация пользователей в домене производится по умолчанию с помощью протокола Kerberos. Использование этого стандарта создает надежную основу для взаимодействия между различными платформами и при этом значительно повышает безопасность сетевой аутентификации.

В Windows 2000/XP/2003 применяется последняя редакция протокола Kerberos версии 5  (RFC 4120). Безопасность системы обеспечивает клиент Kerberos с помощью интерфейса Security Support Provider Interface. Первоначальная проверка пользователя производится в рамках процесса Winlogon, которая обеспечивает единую регистрацию пользователей в системе.

Центр распределения ключей Key Distribution Center (KDC) Kerberos интегрирован с другими службами безопасности Windows 2000/2003, установленными на контроллере домена. Учетные записи безопасности хранятся в базе данных службы каталогов Active Directory.

Windows для доступа с помощью смарт-карт использует сообщения PKINIT протокола Kerberos версии  5   (RFC 4120). КриптоПро Winlogon добавляет в PKINIT поддержку российских криптографических алгоритмов.

Несколько упрощая, можно сказать, что процесс аутентификации по протоколу Kerberos работает по принципу проверки и передачи учетных данных между клиентами и серверами. Вот как это происходит. Когда пользователь входит в домен Windows 2000/2003, операционная система находит сервер Active Directory и службу аутентификации Kerberos и передает ей учетные данные клиента.

Служба KDC (Key Distribution Center) Kerberos, называемая службой распространения ключей после проверки данных клиента, необходимых для подтверждения подлинности, выдает пользователю билет TGT (Ticket-Granting Ticket). Этот билет затем используется для идентификации клиента, когда он запрашивает последующие билеты Kerberos для получения доступа к сетевым ресурсам. Хотя это сложный процесс, участие пользователя заключается лишь во введении пароля при входе.

На приведенном ниже рис. 1 показано взаимоотношения между клиентом, центром KDC и сервером ресурсов, использующими протокол аутентификации Kerberos.

Рис. 1. Процесс аутентификации по протоколу Kerberos

Аутентификация с помощью смарт-карты

При регистрации с помощью смарт-карт используется пара, состоящая из личного и открытого ключей, которая хранится в памяти смарт-карты. Расширение протокола Kerberos, определяющее порядок применения открытых ключей при обмене по подпротоколу AS Exchange, предусматривает следующий порядок использования такой пары.

Открытая ее часть служит для шифрования сеансового ключа пользователя службой KDC, а личная – для расшифрования этого ключа клиентом.

Регистрация начинается с того, что пользователь вставляет свою смарт-карту в специальное считывающее устройство, подключенное к компьютеру. При соответствующей конфигурации Windows это равносильно сигналу SAS, то есть, одновременному нажатию клавиш CTRL ALT DEL.

В ответ Winlogon направляет на настольную систему, динамически подключаемую библиотеку MSGINA, которая выводит на экран стандартное диалоговое окно регистрации. Правда, теперь пользователю нужно ввести только один параметр – персональный идентификационный номер PIN (Personal Identification Number).

Kerberos SSP клиентского компьютера направляет в службу KDC сообщение KRB_AS_REQ – первоначальный запрос на аутентификацию. В поле данных предварительной аутентификации этого запроса включается сертификат открытого ключа пользователя. KDC проверяет подлинность сертификата и извлекает из него открытый ключ, которым шифрует ключ сеанса регистрации.

После этого он включает этот ключ вместе с билетом TGT в сообщение KRB_AS_REP и направляет его клиенту. Расшифровать сеансовый ключ сможет только тот клиент, у которого есть секретная половина криптографической пары, функции которой на этом заканчиваются.

По умолчанию поставщик Kerberos, работающий на клиентском компьютере, в качестве данных предварительной аутентификации направляет в службу KDC зашифрованную метку времени. На системах же, конфигурация которых предусматривает регистрацию с применением смарт-карты, роль данных предварительной аутентификации отводится сертификату открытого ключа.

Настройка exchange-сервера

Если для подключения MS Outlook к MS Exchange серверу используется протокол exchange, аутентификация клиентов будет производиться по протоколу Kerberos. Дополнительно можно потребовать «Всегда запрашивать имя и пароль» — в этом случает будет отображаться окно ввода пароля/вставки смарт-карты на MS Windows XP и старше.

Также сертификаты и ключи со смарт-карты (при использовании соответствующего шаблона сертификатов, например, «пользователь со смарт-картой») могут быть использованы для ЭЦП и шифрования почтовых сообщений. (На MS Windows XP и старше – устанавливаются в хранилище автоматически при вставке смарт-карты).

Настройка isa-сервера

Microsoft ISA Server может быть настроен, например, для ограничение доступа пользователей домена во внешние сети. Для этого необходимо на рабочие места пользователей установить Firewall Client. А в параметрах брандмауэра установить обязательную аутентификацию клиентов внутренней сети и создать правило доступа/запрета доступа для необходимых клиентов (групп).

Для защиты трафика между сервером и клиентом может быть использован протокол КриптоПро TLS.

Настройка sql-сервера

MS SQL Server также может быть настроен на использование протокола аутентификации Kerberos, так, что только прошедшие проверку пользователи получат доступ к серверу.

Настройка серверов других ос

Для настройки серверов функционирующих под управлением других ОС, таких как семейство Unix (Solaris, Linux, FreeBSD), следует:

Поддерживаемые криптопро winlogon ключевые носители

КриптоПро Winlogon Клиент поддерживает следующие типы смарт-карт:

КриптоПро Winlogon KDC для хранения секретного ключа KDC может использовать любой ключевой носитель, поддерживаемый  КриптоПро CSP или, для наилучшей защищённости, использовать Атликс HSM.

28147 3410 3410-94 3411 3411-94 authority CA certificate certification certification authority CRL crypto cryptoapi csp digest digital signature e-commerce ecommerce encryption hash itu-t LDAP pkcs pki public key infrastructure RA registraction authotity registration rfc2459 rsa s/mime secure socket layer signarure smime SSL TLS vpn X.509 x509 безопасность гост закрытый ключ защита защита информации защита персональных данных защищенная почта защищенный документооборот защищенный электронный документооборот интернет информация инфраструктура ИСПДн конфиденциальность крипто крипто-про криптография криптозащита криптопро мккт несанкционированный доступ НСД открытый ключ персональные данные почта программное обеспечение программы регистрация секретный ключ сертификат сертификат ключа подписи сертификат открытого ключа сертификат ФСБ сертификация СКЗИ средства электронной цифровой подписи Средства ЭЦП удостоверяющий центр удостоверяющий центр ключей подписи центр регистрации центр сертификации цифровая подпись шифрование электронная подпись электронная цифровая подписи электронный документ ЭЦП юридическая значимость юридическая значимость электронного документооборота
Оцените статью
ЭЦП64
Добавить комментарий

© 2022 ЭЦП64