Иллюстрированный самоучитель по настройке Windows 2000/2003

Смарт-карты

Компании все более интенсивно ищут пути повышения безопасности своих сетевых ресурсов. Одним из наиболее распространенных методов для решения этой задачи становится использование смарт-карт. Применение смарт-карт является относительно простым способ защиты, значительно затрудняющим несанкционированный доступ к сети. Поэтому в Windows 2000 включена встроенная поддержка обеспечения безопасности с помощью смарт-карт.

Смарт-карты, обычно обладающие размером кредитной карты, обеспечивают защищенное хранение сертификатов и закрытых ключей пользователей. Таким образом, предоставляется очень надежное средство для аутентификации пользователей, интерактивного входа, подписывания кода и безопасной электронной почты. Смарт-карта содержит чип, на котором хранятся закрытый ключ пользователя, учетные данные для входа и сертификат открытых ключей, используемый для различных целей, таких как цифровые подписи и шифрование данных.

Смарт-карты надежнее паролей по следующим причинам:

  • Для аутентификации пользователя нужен физический объект, карта.
  • Карта используется с персональным идентификационным номером (Personal identification number, PIN), гарантирующим ее применение только законным обладателем.
  • Риск похищения учетных данных практически отсутствует, так как извлечь ключ, хранящийся на карте, физически невозможно.
  • Без карты нельзя получить доступ к защищенным ресурсам.
  • В сети не передаются пароли или иная подобным образом используемая информация.

Использование смарт-карт более эффективно в сравнении с аутентификацией программными средствами, поскольку прежде чем пользователь получит доступ к ресурсу, ему необходимо предъявить физический объект (карту) и продемонстрировать знание закрытой информации (PIN-кода карты). Таким образом, обеспечивается аутентификация по двум факторам. Использование смарт-карт для аутентификации пользователей является оптимальным решением, если необходимо обеспечить дополнительную безопасность, как, например, при предоставлении доступа к бухгалтерским программам компании.

Вместо ввода пароля пользователь вставляет карту в устройство, присоединенное к компьютеру, и набирает PIN-код карты. Центр распространения ключей на контроллере домена Windows 2000 осуществляет аутентификацию пользователя с помощью закрытого ключа и сертификата, хранящихся на смарт-карте, а затем выдает билет TGT. С этого момента при подключениях, выполняемых пользователем в рамках данной сессии, используется аутентификация Kerberos, как это было описано выше.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.