Для обеспечения более сильной защиты применяется так называемая многофакторная аутентификация – то есть, аутентификация из нескольких шагов. Отличным примером средства многофакторной аутентификации являются смарт-карты, или другие устройства, схожие со смарт-картами, например, USB-ключи eToken.

Несомненное достоинство ключа eToken перед смарт-картой – он не требует специального считывателя, а просто вставляется в свободный порт USB.

Аутентификация по смарт-карте или ключу может использоваться при входе в Windows, при подключении к VPN или RDP, при подключении к Outlook Web App.

Требуется только, чтобы на компьютере пользователя находился драйвер для смарт-карт или USB-ключей.

Например, при входе в Outlook Web App – вместо окна ввода логина и пароля выводится запрос на выбор сертификата:

В смарт-карту или ключ может быть загружено несколько сертификатов, при этом один из них помечается как используемый по умолчанию. Некоторые программы – например Internet Explorer – позволяют выбрать нужный из всех найденных в смарт-карте сертификатов. Другие программы – например, клиент удаленного рабочего стола – не позволяют выбрать сертификат – выбирается только указанный по умолчанию.

Выбрав сертификат, пользователю необходимо ввести лишь пин-код для доступа к смарт-карте или USB-ключу. И – все, авторизация пройдена! Таким образом, смарт-карта является полной заменой логину и паролю, используемому при обычной аутентификации.

Использование смарт-карты при аутентификации на рабочую станцию в Windows регулируется групповой политикой, и так же политикой регулируется поведение системы при убирании смарт-карты из считывателя (или USB-ключа из порта). Система может никак не реагировать на вытаскивание смарт-карты, может автоматически блокировать (Lock) сеанс пользователя до установки смарт-карты обратно, и может завершать (Logoff) сеанс пользователя.

Несомненная польза смарт-карты в том, что аутентификация с ее помощью является многофакторной – требуется предоставить «что-то, что мы имеем», то есть саму смарт-карту, и «что-то, что мы знаем», то есть пин-код к ней. И к тому же, в отличие от просто пароля, утрату смарт-карты или ключа обнаружить гораздо легче, чем  факт разглашения пароля. По факту утраты можно вовремя принять меры по отзыву сертификатов и запрета их использования для аутентификации.

Для тех, кто по каким-то причинам не смог посетить семинар, мы решили выложить видеозаписи докладов:

Доклад по  Windows Server 2008 R2:

Доклад по Exchange Server 2010:

Доклад по Office Communications Server 2007 R2:

Доклад по GFI:

Также, вы можете отдельно скачать сами презентации:

Презентация Windows Server 2008 R2

Презентация Exchange Server 2010

Презентация Office Communications Server 2007 R2

Презентация  GFI: Часть 1, Часть 2.

Внимание! Все материалы презентаций являются собственностью компаний LanKey, Microsoft и GFI. Без письменного разрешения владельцев запрещается частичное или полное копирование и публикация любых материалов данных презентаций.

В данном блоге будут размещаться технические статьи, описание каких-либо проблем и их решения. В общем всё то, с чем сталкиваются наши инженеры и технические специалисты в своей работе.

Следите за обновлениями!