Главная » Linux

Windows вход по токену

Содержание
  1. Windows вход по токену
  2. Настройка учетных записей пользователей
  3. Настройка политик безопасности домена
  4. Настройка клиентской операционной системы
  5. Защищённый вход в Windows при помощи USB-токенов и смарт-карт eToken

Windows вход по токену

Кратко: Теперь популярный идентификатор ruToken можно использовать в программах Rohos Logon Key и Rohos Disk как единный Ключ для входа в Windows и защиты данных.

Программа Rohos Logon Key полноценно работает в Windows Vista, а также поддерживает авторизацию на удаленный рабочий стол с помощью ruToken.

Устройство ruToken разработанно Российской компанией «Актив», которая производит семейство идентификаторов для осуществления аппаратной авторизации пользователей при доступе к информационным ресурсам и защиты электронной переписки.

Вход в Windows с помощью ruToken.

Программа Rohos Logon Key устанавливает надежную двухфакторную аутентификацию, когда доступ в Windows можно получить, только обладая USB токеном, и зная некоторый пароль (PIN-код).
Все что должен сделать пользователь — подключить ruToken к USB-порту и набрать PIN-код.

Rohos Logon Key единственная программа, которая полноценно работает в Windows Vista, а также поддерживает авторизацию на удаленный рабочий стол с помощью ruToken.

Преимущества использования ruToken в Rohos Logon:

Полноценная поддержка Windows Vista включая: Доступ на удаленный рабочий стол, автоматическая смена пароля по требованию Администратора, работа в Windows Active Directory, поддержка UAC — получение пароля администратора с ruToken в диалоге запроса полномочий. Узнать подробнее: Rohos Credential Provider.

  • Аварийный вход — помогает войти в Windows при утере или поломке ruToken.
  • PIN код по умолчанию — если установить PIN код 1111, тогда программа Rohos Logon Key не будет его запрашивать у пользователя.
  • Возможность использования нескольких ruToken для входа на один компьютер, и наоборот одного брелка для нескольких компьютеров.
  • Rohos Logon Key занимает 4кб на rutoken и совместим с другими программами, использующими ruToken.

Использовние ruToken и Rohos Logon Key в сети

Rohos Logon Key поддерживает работу в рамках сети Windows Active Directory. Серверная версия Rohos Logon Key позволяет легко настраивать программу и USB ключ eToken на множестве компьютерах удаленно.

Серверная версия влючает в себя две утилиты:

  • Утилита управления token — используется для настройки всех token для аутентификации на рабочих станциях в сети (создание/удаление профайлов на token, создание резервной копии, установка PIN кода, настройка eToken на удаленный рабочий стол).
  • Утилита Rohos Remote Admin — позволяет менять настройки Rohos Logon Key на удаленном компьютере, подключенном к Active Directory. Позволяет изменять следующие настройки: разрешение входа только по eToken, действие после извлечения token, блокировка token для пользователей и др.
  • MSI пакет установки программы.

Настройка ruToken в Rohos Logon Key:

    Для начала необходимо установить программу Rohos Logon Key.

  • В главном окне программы открыть окно «Опции»

    • В этом окне как тип устройства, которое будет использованно как ключ для входа, следует выбрать ruToken
      (эта опция может быть установлена по умолчанию в параметрах MSI пакета )
    • В этом окне можно установить различные опции для USB ключа. Подробности можно узнать в справке.
    Читайте также:  Как установить terminator kali linux

    Настраивать eToken для входа в систему необходимо в окне «Настроить ключ»

    Rohos Disk — защита данных с помощью USB ключа ruToken:

    USB токен ruToken также может быть использован как Ключ для доступа с секретному диску в программе Rohos Disk.

    Программа Rohos Disk предоставляет удобное решение для защиты данных:

    • Секретный диск работает автономно : при входе в систему с помощью USB ключа ruToken становиться доступным.
    • При отключении USB ключа — диск отключается.
    • Встроенный файл шреддер помогает перемещать файлы и папки на Rohos Диск и затирать оригиналы.
    • Ярлыки документов на рабочем столе автоматически скрываются на Rohos диск в конце работы.
    • Иконка диска доступна в MS Office и других приложениях для быстрого доступа.
    • Rohos Disk может быть портативно установлен на USB flash накопитель для мобильной работы с секретным диском прямо с USB flash drive.

    Внимание: Чтобы использовать eToken в программе Rohos Disk, необходимо установить Rohos Logon Key, так как в ней и происходит основная настройка eToken для входа в систему.

    Технические характеристики

    Для работы программы Rohos Logon Key требуется:

    • Windows 2000 / 2003 / XP / Vista
    • 2 Mb свободного места на диске
    • Привилегии администратора для установки программы.
    • Установленые драйвера ruToken (с PKCS11 модулем rtpkcs11.dll )

    Rohos Logon Key также поддерживает :

    • Windows XP / Vista 64 бит редакции;

    Требования к идентификатору ruToken:

    • Наличие 2 килобайт свободного места;

    Програма Rohos Logon Key поддерживает любой PKCS11 совместимый токен :

    • Aladdin eToken PRO/R2
    • Aktiv ruToken
    • uaToken
    • iKey 1000/2000
    • Crypto Identity
    • ePass

    Rohos Logon Key — Программа устанавливает новый способ для входа в Windows — с помощью USB flash drive. Загрузить (800 Кб )

    Rohos Диск — Программа для защиты данных — шифрование диска, защита входа в Windows, контроль доступа, хранение паролей на USB flash накопителе. Загрузить (1 Мб )

    Настройка учетных записей пользователей

    В первую очередь необходимо настроить учетные записи пользователей. В этом примере будет настроена учетная запись User — пользователь домена, включенные только в группу Пользователи домена.

    Для настройки учетной записи пользователя:

    1. Откройте Панель управления.
    2. В поле поиска введите слово «администрирование».

    Два раза щелкните по названию Администрирование.

    В домене под управлением Windows Server 2019 есть возможность одним действием запретить всем входить в домен без наличия устройства Рутокен с необходимым сертификатом (пользователь с учетной записью Administrator также не сможет войти в домен без наличия устройства Рутокен). Шаги 2-5 данной инструкции необходимо выполнить только в том случае, если в домене будут пользователи не только с устройствами Рутокен, но и использующие альтернативные способы аутентификации (пароли, биометрические данные и т. д.). При этом шаги 9-10 надо пропустить .

    Настройка политик безопасности домена

    Для настройки политик безопасности:

    1. Откройте Панель управления.
    2. Два раза щелкните по названию пункта Администрирование.
    3. Два раза щелкните по названию оснастки Управление групповой политикой.
    4. В окне Управление групповой политикой рядом с названием категории Объекты групповой политики щелкните по стрелочке.

    Щелкните правой кнопкой мыши по названию объекта групповой политики Default Domain Policy и выберите пункт Изменить.

    Шаги 4-5 необходимо выполнять только в том случае, если всем пользователям будет запрещен вход в домен без устройства Рутокен с необходимым сертификатом.

  • В окне Редактор управления групповыми политиками рядом с названием пункта Конфигурация Windows щелкните по стрелочке.
  • Рядом с названием пункта Параметры безопасности щелкните по стрелочке.
  • Рядом с названием пункта Локальные политики щелкните по стрелочке.
  • Щелкните по названию пункта Параметры безопасности.
  • Щелкните два раза по названию политики Интерактивный вход в систему: требовать Windows Hello для бизнеса или смарт- карту.
  • Установите флажок Определить следующий параметр политики.
  • Установите переключатель в положение Включен.
  • Нажмите ОК.
  • В окне Редактор управления групповыми политиками рядом с пунктом Конфигурации Windows щелкните по стрелочке.
  • Рядом с названием подпункта Параметры безопасности щелкните по стрелочке.
  • Рядом с названием Локальные политики щелкните по стрелочке.
  • Щелкните по названию подпункта Параметры безопасности.
  • Щелкните правой кнопкой мыши по названию политики Интерактивный вход в систему: поведение при извлечении смарт-карты и выберите пункт Свойства.
  • Установите флажок Определить следующий параметр политики.
  • Из раскрывающегося списка выберите поведение клиентской ОС при отсоединении устройства Рутокен в процессе открытого пользовательского сеанса. В данном примере выбрано поведение ОС — Блокировка рабочей станции.
  • Нажмите ОК.
  • Закройте окно Редактор управления групповыми политиками.
  • Закройте Панель управления.

    • Настройка будет доступна только после перезагрузки компьютера. Настройка серверной операционной системы после этого будет завершена.

    Настройка клиентской операционной системы

    Компьютеры с установленными клиентскими операционными системами Windows 10/8.1/8/7/Vista/XP/2000 необходимо ввести в домен и установить на них драйверы Рутокен.

    Редакции ОС должны включать возможность присоединения к домену.

    Если клиентские компьютеры были загружены во время настройки сервера, то необходимо их перезагрузить.

    Теперь пользователи, которым выдан сертификат типа Пользователь со смарт-картой или Вход со смарт-картой, смогут входить в домен только при подключении к компьютеру устройства Рутокен с этим сертификатом.
    При извлечении устройства Рутокен в процессе открытого пользовательского сеанса, клиентская ОС будет автоматически заблокирована (в ОС Windows 10/8.1/8/7/Vista для блокировки рабочего стола при отключении устройства Рутокен необходимо установить автоматический запуск службы Политика удаления смарт-карт/Smart Card Removal Policy).

    Защищённый вход в Windows при помощи USB-токенов и смарт-карт eToken

    С момента появления операционной системы Microsoft Windows, поддерживающей авторизацию пользователя при доступе к компьютеру, прошло достаточно большое количество времени, за которое свет увидел немало версий этой операционной системы, но, к сожалению, сама процедура авторизации в ней осталась без изменений.

    Как и прежде, для того чтобы осуществить вход в Windows необходимо ввести в системе имя пользователя и корректный пароль. Причём для повышения уровня защищённости системы этот пароль должен обладать определённой стойкостью, чтобы усложнить злоумышленнику задачу взлома или подбора пароля.

    Вот здесь и проявляются все минусы использования такого метода авторизации пользователя в Windows — при использовании простых паролей, состоящих из несложных слов, написанных буквами одного регистра (а такие пароли чаще всего и применяют пользователи компьютеров) злоумышленнику не составляет большого труда подсмотреть или подобрать такой пароль.

    Для того чтобы решить эту проблему можно, например, применять для входа в Windows не простые, а сложные пароли, состоящие из букв разного регистра, а также цифр, плюс периодически их менять. Но, к сожалению, не всё так просто, как кажется — сложные пароли весьма трудно, а порою и вовсе невозможно запомнить. Соответственно пользователю приходится держать такие пароли в открытом виде на компьютере или в записной книжке, а в отдельных случаях даже в виде записи на листке бумаги, прикреплённого к монитору или лежащего на столе среди бумаг, что явно не сказывается положительно на уровне защищённости такой системы.

    Тем не менее, решить эту задачу всё-таки возможно и такое решение уже давно присутствует в операционных системах Microsoft Windows, выпускаемых на сегодняшний день. Суть решения в применении смарт-карт или USB-токенов eToken для авторизации пользователя в Windows. Иначе говоря, пользователю, для того чтобы войти в Windows необходимо предъявить системе смарт-карту (пластиковую карту с чипом) или токен и ввести, вместо имени пользователя и пароля, ПИН-код карты/токена.

    Использование встроенных в Windows механизмов аутентификации пользователей по смарт-картам и USB-ключам eToken больше подходит для корпоративного сегмента, где компьютеры подключены к информационной сети предприятия, так как проверка авторизационных данных происходит на сервере компании. Соответственно такое решение не подходит пользователям, работающим на персональных компьютерах и ноутбуках, не имеющих подключения к корпоративной сети.

    Выход из подобной ситуации в применении сторонних программных решений, например, eToken Windows Logon, eToken Network Logon, SafeNet Network Logon, JaCarta SecurLogon или Rohos Logon Key, позволяющих использовать смарт-карты и USB-ключи eToken для аутентификации пользователей на компьютерах и ноутбуках, как включённых в сеть предприятия, так и работающих автономно. При входе в Windows с помощью данных решений пользователю необходимо подключить карту или токен и ввести ПИН-код. На eToken, при этом, могут содержаться различные данные, необходимые для авторизации пользователя на разных компьютерах.

    Применение подобных программных продуктов в значительной степени повышает уровень защищённости данных, так как становится возможным использование сложных паролей для входа в Windows, хранимых в защищённой ПИН-кодом памяти eToken. При этом такие пароли при авторизации не вводятся с клавиатуры, а значит, исключается риск того, что пароль будет перехвачен или подсмотрен третьими лицами в то время, когда пользователь будет осуществлять доступ к компьютеру.

    Читайте также:  Linux add user bash
    Оцените статью
    © 2024 Советы по настройке компьютера