Hướng dẫn-Bảo mật win2003-phan 3- SmartCard

Chia sẻ: Khongduong Vusua | Ngày: | Loại File: DOC | Số trang:6

0
293
lượt xem
187
download

Hướng dẫn-Bảo mật win2003-phan 3- SmartCard

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tham khảo tài liệu 'hướng dẫn-bảo mật win2003-phan 3- smartcard', công nghệ thông tin, an ninh - bảo mật phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

Chủ đề:
Lưu

Nội dung Text: Hướng dẫn-Bảo mật win2003-phan 3- SmartCard

  1. Smartcard I - Nội Dung: Lưu trữ Certificate của user lên Smartcard – Dùng Certificate trên Smartcard để logon và mã hóa dữ liệu. II - Chuẩn Bị: DC (PC01) WS (PC02) Enterprise Root CA Join Domain NhatNghe .com NhatNghe .com - Một bộ Smartcard ( reader và card ) - Máy 1 (PC01): Làm các chức năng DC, Enterprise Root CA (xem lại lab 2) - Máy 2 (PC02): Workstation, join vào domain - Tạo OU “Smart Card”, trong OU “Smart Card” tạo 1 user có user name và password là: U1/123. Trong Properties của U1, nhớ điền email address: u1@nhatnghe.com - Di chuyển Computer Account (PC02) trong “Computer” sang OU “Smart Card” III - Thực Hiện: Lưu ý: Tất cả các thao tác trên máy PC01 đều dùng quyền của Domain Admin. Chọn các thông số mặc nhiên trong quá trình cài đặt 1 – Cài driver và chương trình đọc thẻ từ cho cả 2 máy: Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 27
  2. TRUNG TÂM ĐÀO TẠO MẠNG MÁY TÍNH NHẤT NGHỆ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu , Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Email:info@nhatnghe.com a. Tại PC01 chạy chương trình Setup.exe trong bộ software bán kèm với Smartcard → Install products → ASE Drive Driver. Sau khi hoàn tất việc cài Driver, cài tiếp “ASE Card Cryto User Toolkit”. b. Thực hiện tương tự trên PC02 2 – Phát hành các Certificate Template mới dùng cho Smartcard: a. Tại PC01, chạy chương trình Certificate Authority. Click nút phải chuột trên Certificate Template → New → Certificate Template to Issue b. Chọn các Template: Enrollment Agent, Smartcard Logon, Smartcard User → OK 3 - Cấp Certificate “Enrollment Agent” cho Administrator a. Tại PC01, chạy IE, nhập vào địa chỉ: http://localhost/certsrv → Request a Certificate → Advanced Certificate Request → Create and Submit a Request to this CA b. Trong mục Certificate Template, chọn Enrollment Agent → Submit → Yes. Hệ thống tự động cấp Certificate loại 28 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
  3. “Enrollment Agent” cho Administrator. Chọn Install this Certificate → Yes 4 – Admin dùng quyền “Enrollment Agent” để xin Certificate cho U1 và ghi Certificate vào thẻ từ a. Tại PC01, chạy IE → Tools → Internet b. Tại PC01, chạy IE, nhập vào địa chỉ: Options → chọn tab Security→ Trusted Sites. http://localhost/certsrv → Request a Certificate → Chọn nút Sites, thêm vào địa chỉ Advanced Certificate Request → Request a certificate for a http://localhost. Chỉnh mức Security Level smart card on behalf of another user by using the smart card xuống mức Low, đóng IE. certificate enrollment station. Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 29
  4. TRUNG TÂM ĐÀO TẠO MẠNG MÁY TÍNH NHẤT NGHỆ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu , Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Email:info@nhatnghe.com c. Trong Certificate Template chọn “Smartcard User”, trong User to Enroll chọn U1@nhatnghe.com. Các mục khác chọn giá trị mặc nhiên. Đưa thẻ từ vào đầu đọc→ Enroll. d. Nhập vào số PIN hiện tại của thẻ từ (123456), chọn mục “Change PIN after Verification”. Nhập lại số PIN mới Hoàn tất quá trình xin Certificate cho user 5 – Dùng Smartcard để logon trên Workstation: Gắn đầu đọc vào PC02 rồi khởi động lại. Trên màn hình sẽ xuất hiện thông báo “Insert card or press Ctrl- Alt-Delete to begin”. Lúc này ta có 2 cách logon: dùng Ctrl-Alt-Delete như truyền thống, hoặc dùng thẻ từ. Đưa thẻ từ vào đầu đọc, hệ thống sẽ yêu cầu nhập số PIN → gõ 123456 → U1 logon thành công 30 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
  5. 6 – Dùng Smartcard để mã hóa email: Trên PC02, sau khi dùng smartcard logon thành công vào user U1. a. Chạy chương trình Outlook Express, dùng các thông số sau để khai báo cho quá trình Wizard Setup của Outlook Express: Display Name: U1 Email Address: U1@nhatnghe.com Incoming mail: mail.nhatnghe.com Outgoing mail: mail.nhatnghe.com Account name: U1 Password: 123 Lưu ý: Trong bài lab này ta không cần cài đặt mail server (máy mail.nhatnghe.com không tồn tại) → trong Outlook Express ấn Send/Receive sẽ bị báo lỗi → không quan tâm. b. Tạo một mail mới (không ấn nút send), gởi cho chính U1@nhatnghe.com, subject: Test Smartcard, nội dung tùy ý. c. Chọn “Sign” và “Encrypt” → Send → hệ thống yêu cầu nhập số PIN của Smartcard → gõ 123456 → OK → Email được mã hoá và chuyển sang folder outbox để chờ gởi 7 – Áp Policy để bắt buộc máy PC02 phải dùng Smartcard để logon: a. Tại máy PC01, logon administrator b. Chạy chương trình Active Directory Users and Computer, Click nút phải chuột trên OU “Smatd Card”→ Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 31
  6. TRUNG TÂM ĐÀO TẠO MẠNG MÁY TÍNH NHẤT NGHỆ 105 Bà Huyện Thanh Quan – 205 Võ Thị Sáu , Q3, TP. HCM Tel: 9.322.735 – 0913.735.906 Fax: 9.322.734 www.nhatnghe.com Email:info@nhatnghe.com Properties → Group Policy → New → đặt tên Policy là “Smardcard” → Edit c. Trong Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options→ Chỉnh lại các option sau: Interative Logon: Do not require CTRL + ALT + DELETE : Enable Interative Logon: Require Smartcard: Enable Interative Logon: Smartcard removal behavior: Lock Workstation d. Đóng tất cả các cửa sổ đang mở → Start → Run → GPUPDATE /FORCE e. Khởi động lại PC02, ấn Ctrl + ALT + Delete → Nhập Username / Password: U1/123 → hệ thống báo lỗi “The Local Policy of this System requires you to logon using a smart card” → đưa smart card vào → nhập số PIN → logon U1 thành công → lấy card ra → workstation bị lock lại. 32 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ
Đồng bộ tài khoản