20
DEPLOYING SMART CARDS WINDOWS 2008 QUICK START Krzysztof Bińkowski Wspólne spotkanie grup: WGUiSW i MSSUG, 2010.02.02 Warszawa

Deploying smartcard in windows 2008 quick start

Embed Size (px)

Citation preview

Page 1: Deploying smartcard in windows 2008 quick start

DEPLOYING SMART CARDS WINDOWS 2008

QUICK START

Krzysztof Bińkowski

Wspólne spotkanie grup: WGUiSW i MSSUG,

2010.02.02 Warszawa

Page 2: Deploying smartcard in windows 2008 quick start

Cel prezentacji

Zapoznanie słuchaczy z procedurą i sposobem

wdrożenia smart cards w środowisku Windows 2008 / Windows 7

Page 3: Deploying smartcard in windows 2008 quick start

Agenda

SMART CARDs – krótko Szablony w PKI Szablony SMARTCARD User i SMARTCARD

Logon Restricting Enrollment Agents Enrollment / Web Enrollment Deploying Smart Cards Best Practise Deploying Smart Cards warsztaty Autoenrollement

Page 4: Deploying smartcard in windows 2008 quick start

Budowa Smart Card

- Posiada wbudowany procesor- Jest programowalna- Dostarcza bezpieczny magazyn dla kluczy prywatnych- Oddziela krytyczne dla bezpieczeństwa operacje od komputera

Karta przechowuje: Klucz prywatny Klucz publiczny

Powiązany certyfikat

Page 5: Deploying smartcard in windows 2008 quick start

Karta, nie karta ?

Czasem SMART CARD nazywamy tokenami USB

Page 6: Deploying smartcard in windows 2008 quick start

Czytniki kart

Page 7: Deploying smartcard in windows 2008 quick start

Standardowe karty - minimum

Zestaw zawiera: Karta Sterowniki + oprogramowanie (middleware) CSP Czytnik kart

Page 8: Deploying smartcard in windows 2008 quick start

Karty .NET

Page 9: Deploying smartcard in windows 2008 quick start

Certificate Templates

• Dostępne tylko na CA typu zintegrowanego z Active Directory

• Przechowywane w Active Directory

• Zabezpieczone przed niepowołaną zmianą

Szablony Certyfikatów są zestawem zasad i ustawień które są konfigurowalne po stronie urzedu certyfikacji (CA). Zasady te i ustawienia są wykorzystywane w procesie wydawania certyfikatów.

Page 10: Deploying smartcard in windows 2008 quick start

Szablony Windows Server 2008 R2

Wersja ServeraWsparcie dla szablonów certyfikatów

V1 V2 V3

Windows Server 2008 R2 Datacenter Edition Tak Tak Tak

Windows Server 2008 R2 Enterprise Edition Tak Tak Tak

Windows Server 2008 R2 Standard Edition Tak Nie Nie

• V1 – wersja przewidziana dla kompatybilności wstecz (win 2000)• V2 – pozwala na zmianę ustawień domyślnych ( Win 2003)• V3 – najnowsza i najbardziej zaawansowana wersja SuiteB (win

2008, Vista, 7)

Page 11: Deploying smartcard in windows 2008 quick start

Niezbędne szablony Smart Card

Enrollment Agent. Allows an authorized user to serve as a certificate request agent on behalf of other users.

Smart Card User. Enables a user to log on and sign e-mail.

SmartCardLogon. Enables a user to log on by using a smart card.

Page 12: Deploying smartcard in windows 2008 quick start

Default Certificate Templates

Name Description Key usage Subject

type

Published to Active Directory Domain Services

(AD DS)?

Template version

Enrollment Agent

Used to request certificates on behalf of another subject.

Signature User No 1

Enrollment Agent

(Computer)

Used to request certificates on behalf of another computer subject.

Signature Computer No 1

Smartcard Logon

Allows the holder to authenticate by using a

smart card.

Signature and encryption

User No 1

Smartcard UserAllows the holder to

authenticate and protect e-mail by using a smart card.

Signature and encryption

User Yes 1

Page 13: Deploying smartcard in windows 2008 quick start

Restricting Enrollment Agents

The enrollment agent can request certificates only for specific AD DS groups.

For each designated AD DS Group, the enrollment agent can request certificates based only on specific certificate templates.

Page 14: Deploying smartcard in windows 2008 quick start

Enrollment / Web Enrollment

Certificate-Related Changes for Windows Vista

ActiveX enrollment control used in previous versions of Windows, XEnroll.dll, is being replaced with a new enrollment control, CertEnroll.dll, in Windows Vista and Windows Server 2008.

Page 15: Deploying smartcard in windows 2008 quick start

Enrollment / Web Enrollment

Page 16: Deploying smartcard in windows 2008 quick start

Deploying Smart Cards Best Practise

Designing an Enrollment Agent certificate template

Designing a smart card certificate template Restricting the enrollment agents Restricting the certificate managers

Performing the deployment process:1. The enrollment agent must acquire Enrolment

Agent certificate 2. The Enrollment agent must request a

certifcate for a smart card user

Page 17: Deploying smartcard in windows 2008 quick start

Autoenrollment

Computer autoenrollment Computer Configuration\ Windows Settings \Security Settings\Public Key Polices\ Autoenrollment Settings

User autoenrollment User Configuration\Windows Settings\Security Settings\Public Key Polices\Autoenrollment Settings

Page 18: Deploying smartcard in windows 2008 quick start

Warte uwagi Smart Card is required for interactive

logon ADUC / VBS / GPO

Smart card removal behavior

Określa co się stanie kiedy użytkownikZalogowany oprzez SMART CARD usunie kartę z czytnika Smart Card.

Dostępne opcje: No Action Lock Workstation Force Logoff Disconnect if a Remote Desktop

Services Session

Page 19: Deploying smartcard in windows 2008 quick start

Deploying Smart Cards warsztaty

Na serwerze Windows 2008: Instalujemy CA Enterprise Publikujemy szablony certyfikatów w CA:

Enrollment Agent, SmartCard User

Na stacji roboczej Windows 7: Instalujemy CSP Cryptotech Pobieramy i instalujemy certyfikat Enrollment Agent Pobieramy i wydajemy certyfikat w imieniu

użytkownika Imie.Nazwisko Logujemy się do Windows 7

Page 20: Deploying smartcard in windows 2008 quick start

Dziękuje za uwagę

Zapraszam na warsztaty w dalszej części naszego spotkania

[email protected]

Moje prezentacje na temat SMARTCARD: Praktyczne

zastosowanie kart elektronicznych10 spotkanie WGUiSW – 1 spotkanie MSSUG

Praktyczne spojrzenie na zastosowanie SMARTCARD w środowisku Windows

MTS 2009