Windows SmartCard para estações de trabalho compartilhadas

Já considerou a biometria? Um leitor de impressões digitais geralmente permitirá 5 ou 10 impressões digitais por conta de usuário (uma para cada dedo) ou, em teoria, 5 a 10 pessoas em uma conta de usuário (basta digitalizar o dedo de cada pessoa em um local diferente).

Isso não funcionará se estiver em um local industrial - o leitor ficará sujo, os dedos estarão sujos, sujos, empoeirados, tudo prejudicial à biometria. E também não é exatamente infalível (houve um ótimo episódio de Mythbusters sobre isso), mas deve manter os usuários honestos de fora.

Eu também vi um sistema brilhante em TradeLink de todos os lugares (pena que isso não os impediu de estragar nossa ordem).

Eles tinham Sun Thin Clients com smartcards. Toda vez que os clientes pulavam da mesa e levavam o cartão com eles, a sessão se fechava. Pop-lo de volta, e sessão iria desbloquear.

Claro, ser thin-client significa que ele depende de um Terminal Server e eu estou supondo que, dada a natureza sensível de seu equipamento, isso não seria prático, mas se existir em um nível thin client, eu Tenho certeza de que também haverá um produto que funcione com os desktops tradicionais.

Se você já atualizou este sistema para uma versão mais recente do Windows, consulte Configurações de Diretiva de Grupo e Registro do Smart Card nos documentos do Technet.

O serviço de política de remoção de cartão inteligente disponível no Windows 7 lhe daria a funcionalidade de bloqueio / desbloqueio desejada fora da caixa. Tudo o que você precisa fazer é configurá-lo.

Para versões mais antigas do Windows, você precisaria de um software complementar para realizar o bloqueio / desbloqueio. Várias soluções de bloqueio de proximidade / desbloqueio / logon estão no mercado e usam principalmente chaves RFID.

Eu realmente implementei isso e fiz testes extensivos em relação à autenticação do SmartCard. Há coisas sugeridas no que é verificado e como funciona no link de Sam para o artigo da Base de Dados da Microsoft: link

Quando você usa um certificado SmartCard, na maioria das vezes o certificado anexado ao SmartCard é gerado no cartão e a chave privada não pode ser exportada. Portanto, usar o mesmo certificado em vários cartões pode não funcionar, a menos que seja gerado fora do cartão e depois importado. Nem todos os cartões permitem que a chave seja importada assim. No entanto, você pode emitir vários certificados que fazem logon na mesma conta. Tudo o que você precisa garantir é que o UPN em todos os certificados coincida, mesmo que os certificados não sejam os mesmos.

Por meio da experiência e de alguns dos artigos do Technet / MSDN, o Microsoft Active Directory verifica os itens a seguir para ver se eles são verdadeiros para permitir o acesso com base no certificado fornecido pelo SmartCard:

1. A CA de emissão é confiável para certificar o logon do SmartCard?
2. O certificado da CA de emissão é válido (não expirou, não foi revogado)?
3. O certificado SmartCard é emitido pela autoridade de certificação confiável e válida?
4. O certificado SmartCard é válido (não expirado, não revogado)?
5. O Nome Principal do Usuário no certificado SubjAltName corresponde ao Nome Principal do Usuário no Active Directory? Exemplo: [email protected]
6. A Lista de Revogação de Certificados pode ser recuperada de maneira positiva, conforme especificado no certificado de cartão inteligente e na CA, para confirmar o status de revogação?
7. O certificado SmartCard tem um uso importante do logon do SmartCard?

Quando todas as opções acima forem verdadeiras, a autenticação do SmartCard será bem-sucedida.

Você pode até usar um SmartCard para autenticar um domínio não relacionado ou não confiável. Por exemplo, se um usuário com o login do Windows [email protected] for emitido com um certificado de logon do SmartCard para [email protected] ; John Doe pode fazer o login em domainB.com, mesmo como Jane Smith , desde que a CA de emissão seja importada para o AD do domainB corretamente como confiável para emissão de SmartCard e Jane Smith A conta de está configurada para poder fazer o login com [email protected] .

É importante observar que o formato de login anterior ao Windows 2000: DOMAIN \ username não é usado para autenticar os Certificados SmartCard. Assim, você pode definir o login anterior ao Windows 2000 como uma coisa, enquanto o UPN para outra coisa.

Por fim, devido às implicações acima, em uma configuração de segurança mais alta, as práticas da CA são extremamente importantes, pois a autenticação forjada é fácil se a CA não for controlada. Como você pode imaginar, uma autoridade de certificação que não verifica a identidade daqueles que solicitam um certificado pode emitir certificados duplicados que permitem que outras pessoas personifiquem um indivíduo em particular.

O logon do cartão inteligente é mencionado nestes links:

link

link

Você também pode alterar a senha periodicamente e ameaçar os operadores autorizados para não distribuí-la. Claro, isso pode não funcionar com o software crítico.

Por que não emitir um único certificado para um usuário em seu domínio e fornecer vários cartões inteligentes com esse único certificado? Isso permitirá que vários cartões compartilhem a mesma identidade, que é o que você precisa (se eu entendi corretamente). Os cartões inteligentes exigem algum nível de funcionalidade de domínio e possivelmente infraestrutura de PKI. Se você não tem isso, você pode ver alguns produtos que permitirão que você realize algo semelhante.