服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 用于共享工作站的Windows智能卡
Intereting Posts
join两个拆分文件 Keepalived断开连接 使用ImageX重影Windows XP 如果SaltStack目录是/ srv / salt的子目录,会不会有问题? 如何自动通知用户过期的密码? 无法将大file upload到nginx后面的服务器作为反向代理 MySQL – 连接和安全 电子邮件问题 – Windows Server 2008 R2 限制给定目录(Apache 2.0和suPHP)上的Web访问 SVN for Dummies(我) 用Windows缓慢的DNSparsing 如何使docker在CentOS 7中使用aufs? SAN路由的重点是什么? SQL Server需要SharePoint 2007的哪些function 跳过Windows SBS 2011安装向导/单独安装产品,无需初始configuration

用于共享工作站的Windows智能卡

我们有一个Windows x64工作站,可以控制对我们运营至关重要的特殊设备。 这台工作站只有一些训练有素的操作员“知道”如何操作。 但是,它运行的是Windows,这对于那些没有经过培训的人来说是令人鼓舞的,因为他们没有经过培训来操作工作站,这显然会造成问题。

我们已经讨论了如何缓解这个问题,并且多个用户帐户不是一个选项。 我们想到的最好的东西是某种智能卡function。 智能卡对于我来说是新手,但是在阅读这些智能卡时,似乎它们与login过程相关联。 我正在寻找的东西,如果智能卡被删除,将locking屏幕/键盘/鼠标,然后立即解锁,如果它被重新插入。 有人知道这样的事情吗?

更新

感谢所有的答复。 我其实是希望有一个交钥匙的软件包,或者一些类似的build议。

你有没有考虑过生物识别技术? 一个指纹读取器通常允许每个用户帐户5个或10个指纹(每个手指一个),或者理论上,一个用户帐户上的5-10个人(只是将每个人的手指扫描到不同的位置)。

如果它在工业区域,这将不起作用 – 读者会变脏,手指变脏,污垢,灰尘,对生物测定学不利。 而且这也不完全是万无一失的(有一个伟大的stream言蜚语插曲),但它应该保持诚实的用户。

我还在所有地方的TradeLink看到了一个很棒的系统(太糟糕了,它并没有阻止他们搞乱我们的订单)。

他们让Sun Thin客户使用智能卡。 每次从办公桌上跳下来拿走卡片,会议就会locking。 popup回来,会话将解锁。

当然,瘦客户端就意味着它依赖于terminal服务器,而且我猜测由于设备的敏感特性,这是不切实际的,但是如果它存在于瘦客户端,我相信还会有一款与传统桌面兼容的产品。

如果您曾经将此系统更新到较新版本的Windows,请查看Technet文档中的智能卡组策略和registry设置

Windows 7中提供的智能卡移除策略服务将为您提供所需的locking/解锁function。 你所要做的就是configuration它。

对于较旧的Windows版本,您需要附加软件来完成locking/解锁。 市场上的各种接近locking/解锁/login解决scheme主要使用RFID钥匙。

我已经实现了这一点,并做了关于智能卡身份validation的广泛testing。 有些事情暗示了它检查的内容,以及它如何在Sam链接到Microsoft知识库文章中的作用: http : //support.microsoft.com/kb/281245

当您使用智能卡证书时,大部分时间在卡上生成附加到智能卡的证书并且不能导出私钥。 因此,在多张卡片上使用相同的证书可能不起作用,除非卡片在卡片外生成,然后导入。 并不是所有的卡都可以像这样导入密钥。 但是,您可以颁发多个login到同一个帐户的证书。 您必须确保所有证书上的UPN都匹配,即使证书不一样。

通过使用经验和一些technet / MSDN文章,Microsoft Active Directory检查以下内容是否属实,以允许基于SmartCard提供的证书进行访问:

  1. 颁发CA是否可以用来certificate智能卡login?
  2. 颁发CA证书是否有效(未过期,未被吊销)?
  3. 智能卡证书是否由可信和有效的CA颁发?
  4. 智能卡证书是否有效(未过期,未被撤销)?
  5. 证书SubjAltName上的用户主体名称是否与Active Directory中的用户主体名称相匹配? 例如:[email protected]
  6. 能否按照智能卡证书和CA中的规定,肯定检索证书撤销列表以确认撤销状态?
  7. 智能卡证书是否具有智能卡login的关键用途?

一旦以上所有情况都成立,智能卡authentication将成功。

您甚至可以使用一个智能卡对不相关或不可信域进行身份validation。 例如,如果具有[email protected] Windowslogin名的用户获得了[email protected]的智能卡login证书, John Doe可以以Jane Smith的身份login到domainB.com,只要发行CA被正确地导入到domainB的AD中,并作为SmartCard发行的受信任者, Jane Smith的账户就可以通过john.doe@domainAlogin。 com

请注意,Pre-Windows 2000login格式:DOMAIN \ username不用于validationSmartCard证书,这一点很重要。 因此,您可以将Pre-Windows 2000login设置为一件事,而将UPN设置为另一件事。

最后,由于上述的影响,在更高的安全性设置中,CA的做法是非常重要的,因为如果CA不被控制,伪造的authentication是容易的。 正如您可以想象的,不validation请求证书身份的CA可以颁发重复证书,允许其他人模拟特定个人。

智能卡login在以下链接中被引用:

http://support.microsoft.com/kb/281245

http://technet.microsoft.com/en-us/library/dd277386.aspx

您也可以定期更改密码,并威胁授权的操作员不要泄露密码。 当然,这可能不适用于关键软件。

为什么不为您的域中的用户颁发单个证书,并使用该单一证书configuration多个智能卡? 这将允许多个卡共享相同的身份,这是你需要的(如果我理解正确的话)。 智能卡确实需要一定程度的域function,可能还需要PKI基础设施。 如果你没有这些,你可能会看到一些产品,可以让你做类似的事情。