Como gerenciar cartões inteligentes para o logon do Windows (inventário, certificados, expirações etc.)?

Navegue suas respostas
1

Estamos implementando cartões inteligentes para cumprir a autenticação de dois formulários usando o suporte integrado no Windows + AD, usando as placas YubiKeys e Gemalto .NET.

Como administrador, posso emitir novos certificados para os usuários e instalar esses certificados nos cartões inteligentes sem ferramentas adicionais de terceiros, mas simplesmente com o suporte embutido atual no Windows. O que eu preciso é de uma ferramenta de gerenciamento que possa acompanhar meus cartões e ajudar a gerenciar certificados neles, data de validade, políticas de senha, etc.

Não consegui encontrar nenhuma solução no mercado além da Versasec. Enquanto a ferramenta versasec faz tudo que eu preciso, suas vendas e suporte são terríveis Ignorando a interface feia). Outras empresas fornecem apenas ferramentas para infra-estrutura voltada para acesso físico e similares, mas nenhuma até agora para oferecer suporte ao acesso lógico para as estações de trabalho do Windows.

Qualquer conselho será apreciado.

    
por Ricardo C 09.03.2017 / 21:41

1 resposta

0

Não tenho certeza sobre o gerenciamento de YubiKeys . No entanto, em relação à linha de produtos da Gemalto, você deve primeiro saber que a linha IDPrime .NET foi descontinuada e que a linha de produtos IDPrime MD será a substituta. Por Gemalto :

We’d like to update you that we are announcing End of Sale for the following smart cards:

IDPrime .Net  
IDPrime .Net Bio

Key Dates:

Milestone     Date

Last-Time-Buy (LTB)   September 29, 2017  
End-of-Sale (EOS)     September 30, 2017  
End-of-Life (EOL)     September 30, 2018

Com o gerenciamento de cartões inteligentes, tudo se resume ao escopo. Se você tem um grande número de cartões, faz sentido investir em um CMS (Card Management System) como o Microsoft FIM, o Verasec vSEC: CMS, o Gemalto IDAdmin 200 etc. Para pequenas implantações, há apenas três pontos para resolver e tudo pode ser alcançado através de ferramentas disponíveis gratuitamente.

  1. PIN do administrador - nos cartões da Gemalto, este é um valor de 24 bytes definido como 0x00 por padrão. A ferramenta Verasec vSEC: CMS K-series permitirá que isso seja alterado para um valor aleatório. Assim, se o cartão inteligente for perdido, os certificados não serão recuperáveis, pois apenas 5 logins de administrador com falha são permitidos. Certifique-se de documentar com segurança o novo PIN do administrador, pois ele será necessário para executar as seguintes tarefas:
    1. Desbloquear o PIN do usuário
    2. Definir política de PIN do usuário
    3. Outras atividades de administrador (redefinir cartão, gerenciar outras funções, etc.)
  2. Gerenciamento de cartão - essa atividade inclui principalmente a definição de políticas de PIN do usuário, embora possa ser estendida para o gerenciamento de outras funções de usuário. Verasec vSEC: O CMS K-series faz um trabalho suficiente, embora o Minidriver Manager da Gemalto seja muito mais abrangente. Só não se esqueça de adicionar o PIN do administrador aplicável ao arquivo MD_Manager.ini para que você possa fazer logon como função administrativa. O Gerenciador de Minidriver da Gemalto pode realizar todas as tarefas de gerenciamento de maneira nativa, exceto alterar o PIN do administrador.
  3. Desbloquear o PIN do usuário - Verasec vSEC: o CMS K-series oferece essa funcionalidade e a Gemalto oferece uma ferramenta chamada Response Calculator.
por 01.03.2018 / 00:03

Tags

Sufixo UPN do Active Directory / nome de logon Ativar o cache para o proxy NGINX