Planungshandbuch für sicheren Zugriff unter Verwendung von Smartcards
Kapitel 2 – Smartcardtechnologien
Veröffentlicht: 30. Juni 2005 | Aktualisiert: 07. Mai 2007
Das Speichern von Daten in einem Netzwerk stellt eine Grundvoraussetzung dar, die in nahezu jedem Unternehmen gewährleistet werden muss. Für Kommunikationszwecke und zur Steigerung der Umsätze müssen Unternehmen häufig Netzwerke mit vertraulichen und firmeneigenen Daten mit dem Internet verbinden. Das ständige Streben nach erhöhter Konnektivität stellt ein erhebliches Sicherheitsrisiko dar: Der Großteil der Unternehmen verwendet Benutzernamen und Kennwörter für die Authentifizierung sowie die Autorisierung des Zugriffs auf Netzwerkressourcen.
In Kapitel 1 – „Einführung“ wurden die wesentlichen Sicherheitsprobleme mit Benutzername-/Kennwortkombinationen dargestellt. Da Benutzernamen nicht geheim sind, bleibt nur das Kennwort als effektive Sicherheitsmaßnahme zum Schutz vor Angreifern, die die Identität eines rechtmäßigen Benutzers anzunehmen versuchen. Die Erkenntnis, dass Anmeldeinformationen (Benutzername und Kennwort) eine potenzielle Schwachstelle darstellen, hat zu einem gesteigerten Interesse an 2-Faktoren-Authentifizierungssystemen geführt.
Auf dieser Seite
2-Faktoren-Authentifizierung
Implementierungsvoraussetzungen
Szenario der Woodgrove National Bank
Zusammenfassung
2-Faktoren-Authentifizierung
Die Zweifaktor-Authentifizierung geht über eine einfache Kombination aus Benutzernamen und Kennwort hinaus und macht die Verwendung eines eindeutigen Tokens und einer PIN-Nummer erforderlich. Für die Implementierung der 2-Faktoren-Authentifizierung gibt es mehrere Möglichkeiten; zweifellos werden in der Zukunft noch weitere hinzukommen.
Hardwaretokens
Bei der 2-Faktoren-Authentifizierungsmethode mit Hardwaretokens verwenden Benutzer eine physische Komponente, z. B. einen Schlüsselanhänger oder eine Magnetkarte. Diese Hardware bietet einen einfachen einmaligen Authentifizierungscode, der sich in der Regel alle 60 Sekunden ändert. Um sich eindeutig für den Netzwerkzugriff zu identifizieren, müssen Benutzer sowohl über den einmaligen Code als auch über die zugehörige geheime PIN verfügen.
Hardwaretokens bieten ähnliche Vorteile wie Smartcards, können jedoch einen komplexeren Planungs- und Bereitstellungsprozess erfordern. Microsoft® Windows Server™ 2003 und Windows® XP bieten keine integrierte Unterstützung für Hardwaretokens.
Smartcards
Smartcards sind fälschungssichere Kunststoffchipkarten in Kreditkartengröße. Sie enthalten einen Mikrocomputer und einen kleinen Speicher für das sichere Aufbewahren von privaten Schlüsseln und X.509-Sicherheitszertifikaten. Smartcards verfügen in der Regel über 32 oder 64 KB EEPROM-Speicher (Electrically Erasable Programmable Read Only Memory) und einen ROM-Speicher (Read Only Memory) mit lediglich 1 KB RAM. Der ROM-Speicher umfasst das Betriebssystem der Smartcard, der EEPROM-Speicher enthält die Datei- und Verzeichnisstrukturen, das PIN-Verwaltungsapplet sowie das Authentifizierungszertifikat. Der RAM-Speicher bietet Arbeitsspeicher für verschiedene Aktionen wie Verschlüsselung und Entschlüsselung.
Für die Authentifizierung am Computer oder über eine RAS-Verbindung führt der Benutzer die Smartcard in ein entsprechendes Lesegerät ein und gibt anschließend die PIN ein. Der Zugriff mit nur einer Komponente ist nicht möglich, sondern kann ausschließlich mit der Smartcard UND der zugehörigen PIN erfolgen. Brute-Force-Angriffe auf Smartcard-PINs sind nicht möglich, da die Smartcard nach mehreren Fehlversuchen bei der PIN-Eingabe gesperrt wird. Da sich PINs in der Regel aus acht Zeichen oder weniger zusammensetzen, sind sie leichter einzuprägen als Kennwörter mit einer langen, willkürlichen Reihe von Zeichen. Smartcards sind der von Microsoft bevorzugte 2-Faktoren-Authentifizierungsmechanismus.
Hinweis: Smartcard-PINs müssen nicht numerisch sein. Mit dem Smartcardentwicklungskit des jeweiligen Herstellers können Sie festlegen, wie viele alphabetische und numerische Zeichen, Großbuchstaben, Kleinbuchstaben oder nicht-alphanumerische Zeichen erforderlich sind.
Microsoft stellt Smartcards für Domänenadministratoren und den Remotezugriff auf Netzwerkressourcen bereit und ist darum bemüht, den Einsatz dieser Maßnahme als Teil der Tiefenverteidigungsinitiative zu fördern. Microsoft Consulting Services, Premier Support, Customer Support Services, Microsoft-Partner und andere Lösungsanbieter empfehlen Unternehmen den Einsatz von Smartcards zur Sicherung des Netzwerkzugriffs.
In der folgenden Liste werden die einzelnen Schritte erläutert, die für die Implementierung einer Smartcardlösung für Netzwerkadministratoren erforderlich sind:
Aktivieren Sie die Zielserver für die Unterstützung von interaktiver, sekundärer und Remotedesktopanmeldung mit Smartcard-fähigen Konten.
Legen Sie fest, welche Administratoren Smartcard-fähige Domänenadministratorkonten verwenden müssen.
Stellen Sie Smartcardlesegeräte bereit.
Entwickeln Sie einen sicheren Smartcardverteilungsprozess, und registrieren Sie die Administratoren.
In der folgenden Liste wird die Vorgehensweise erläutert, die zur Integration einer Smartcardlösung für Remotezugriff erforderlich ist.
Aktualisieren Sie die RAS-Server, damit sie die Smartcardauthentifizierung unterstützen.
Legen Sie fest, welche Benutzer Smartcards für den Remotezugriff verwenden müssen.
Stellen Sie Smartcardlesegeräte bereit.
Verteilen Sie Smartcards an die entsprechenden Administratoren, und registrieren Sie die Remotebenutzer.
Implementierungsvoraussetzungen
Die Bereitstellung von Smartcards muss genau geplant werden. Nur so kann gewährleistet werden, dass sämtliche mit der Bereitstellung einhergehenden Aspekte berücksichtigt wurden, bevor die Implementierungsphase beginnt. In diesem Abschnitt werden die gängigsten Implementierungsvoraussetzungen erläutert. Für Ihre Umgebung müssen möglicherweise zusätzliche Voraussetzungen berücksichtigt werden.
Identifizierung von Konten
Die Identifizierung von Benutzern und Gruppen, die Smartcardzugriff benötigen, stellt einen wichtigen Teil des Smartcardbereitstellungs-Prozesses dar.
Hinweis: Unternehmen, bei denen sowohl die budgetären als auch die sicherheitstechnischen Voraussetzungen für die Implementierung von Smarcardzugriff für sämtliche Benutzer gegeben sind, können diesen Schritt überspringen.
Die folgenden Gruppen und Benutzer benötigen möglicherweise eine Smartcard:
Domänenadministratoren für alle Domänen in der Gesamtstruktur
Schemaadministratoren
Organisationsadministratoren
Datenbankadministratoren
Personaladministratoren
Benutzer mit Remotezugriff
Benutzer, die Benutzerzugriff oder administrativen Zugriff auf sicherheitsrelevante Ressourcen wie Buchhaltungs- und Finanzinformationen haben
Zudem benötigt ein Unternehmen möglicherweise Smartcardzugriff für Benutzer und Gruppen, die nicht in der vorangegangenen Liste aufgeführt sind, z. B. aus dem Bereich der Geschäftsleitung. Durch die frühzeitige Identifizierung dieser Konten können der Projektumfang leichter definiert und die Kosten besser kontrolliert werden.
Zur Identifizierung wichtiger Konten muss festgelegt werden, in welchen Fällen Smartcards verwendet werden sollen. Zu den bewährten Sicherheitsmaßnahmen zählt beispielsweise die Verwendung zweier Benutzerkonten für Administratoren: Ein Standardkonto für die täglichen Aufgaben wie E-Mailing und ein Administratorkonto für die Serververwaltung und andere administrative Aufgaben. In der Regel meldet sich ein Administrator mit einem Benutzerkonto an und verwendet den Dienst „Sekundäre Anmeldung“ für die Ausführung administrativer Aufgaben. Alternativ kann ein Administrator die Komponente „Remotedesktop für Verwaltung“ von Windows Server 2003 verwenden. Diese Komponente unterstützt die Smartcardanmeldung. Weitere Informationen zu Administratorkonten finden Sie im Abschnitt „Festlegung von Administratorkonten und Gruppen“ in Kapitel 3, „Verwendung von Smartcards zur Sicherung von Administratorkonten“.
Infrastruktursupport für Smartcards
Für Smartcards ist eine geeignete Infrastruktur erforderlich, die vom Betriebssystem und den Netzwerkelementen unterstützt wird. Microsoft bietet Unterstützung für Smartcardimplementierungen, die die folgenden Komponenten verwenden:
Microsoft-Zertifikatsdienste oder externe Infrastruktur öffentlicher Schlüssel (PKI, Public Key Infrastructure)
Zertifikatvorlagen
Windows Server 2003
Der Active Directory®-Verzeichnisdienst
Sicherheitsgruppen
Gruppenrichtlinie
Registrierungsstellen und agenten
Aktivierungswebserver
EAP-TLS-Protokoll (Extensible Authentication Protocol; Transport Layer Security) – nur für Remotezugriffslösungen erforderlich
Zusätzliche Komponenten umfassen u. a. Registrierungsstationen und Registrierungsagenten.
Infrastruktur öffentlicher Schlüssel
Smartcards erfordern eine Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) für die Bereitstellung von Zertifikaten mit öffentlich-privaten Schlüsselpaaren, die das Zuordnen von Zertifikaten in Active Directory ermöglichen. Solch eine PKI lässt sich auf zwei Arten implementieren: Lassen Sie die interne Zertifikatsinfrastruktur von einem externen Unternehmen erstellen, oder nutzen Sie die Zertifikatsdienste in Windows Server 2003. Unternehmen können den Zertifikatsverwaltungsprozess für Smartcards teilweise oder vollständig an externe Unternehmen abgeben.
Für Unternehmen im Finanzbereich bietet es sich an, ihre PKI zur Überprüfung von E-Mails und für sichere Transaktionen mit Partnerunternehmen mit einem externen vertrauenswürdigen Stamm zu verknüpfen. Ein anderer Ansatz für die Bereitstellung einer PKI ist die Verwendung der Zertifikatsdienste in Windows Server 2003.
Weitere Informationen zu den Zertifikatsdiensten in Windows Server 2003 finden Sie auf der Website Public Key Infrastructure for Windows Server 2003 (in englischer Sprache) unter www.microsoft.com/windowsserver2003/technologies/pki/default.mspx
Die PKI muss über einen Mechanismus zur Zertifikatssperrung verfügen. Die Zertifikatssperrung ist erforderlich, wenn ein Zertifikat abläuft oder möglicherweise von einem Angreifer manipuliert wurde. Jedes Zertifikat enthält den Speicherort seiner Zertifikatsperrliste (CRL, Certificate Revocation List). Weitere Informationen zum Verwalten von Zertifikatsperrungen finden Sie unter Verwalten von Zertifikatsperrungen auf der Website https://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/6c95826e-8c8d-4138-bae6-a92e8612499f.mspx
Zertifikatvorlagen
Windows Server 2003 bietet spezielle Zertifikatsvorlagen für das Ausstellen von digitalen Zertifikaten zur Verwendung mit Smartcards. Sie können diese Zertifikatsvorlagen kopieren und den Bedürfnissen Ihres Unternehmens entsprechend anpassen. Die folgenden drei Zertifikatvorlagen stehen für die Smartcardverwendung zur Verfügung:
Registrierungsagent. Ermöglicht einem autorisierten Benutzer Zertifikate für andere Benutzer anzufordern.
Smartcardbenutzer. Benutzer können sich mit einer Smartcard anmelden und E-Mails signieren. Zudem wird die Clientauthentifizierung ermöglicht.
Smartcardanmeldung. Benutzer können sich mit einer Smartcard anmelden, und die Clientauthentifizierung wird ermöglicht. Das Signieren von E-Mails ist jedoch nicht möglich.
Windows Server 2003, Enterprise Edition bietet Vorlagen der Version 2 (V2), die Sie beliebig bearbeiten und so erweitern können, dass sie zusätzliche Funktionen wie Anmeldung, signierte E-Mails und Dateiverschlüsselung bieten. Sie können die Zertifikatsvorlagen auch um zusätzliche für Ihr Unternehmen erforderliche Informationen wie medizinische Details oder Rentenansprüche erweitern. Windows Server 2003, Enterprise Edition unterstützt die automatische Registrierung. Die automatische Registrierung vereinfacht die Verwaltung von Smartcards in größeren Unternehmen. Bei Anforderungen von Zertifikatserneuerungen kann für das Signieren der Anforderung das aktuelle Zertifikat verwendet werden.
Hinweis: Microsoft empfiehlt ausdrücklich das Upgrade einer aktuellen Windows Server 2003-PKI auf eine PKI mit Windows Server 2003 mit Service Pack 1 (SP1), um die Vorteile der erweiterten Sicherheitsfunktionen nutzen zu können.
Weitere Informationen zu Zertifikatsvorlagen finden Sie unter Zertifikatsvorlagen auf der Website www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag\_ct\_topnode.asp.
Windows Server 2003
Microsoft Windows 2000 Server unterstützt Smartcards für den Remotezugriff sowie auf Konsolenanmeldung beschränkte Administratorauthentifizierung. Die Implementierung von Smartcards für Administratoren erfordert, dass auf den verwalteten Servern Windows Server 2003 ausgeführt wird. Windows Server 2003 unterstützt sekundäre Verfahren wie Smartcardanmeldung über RDP-Verbindungen (Remote Desktop Protocol). Diese Betriebssystemanforderung schließt die Domänencontroller mit ein. Weitere Informationen zu dieser Anforderung finden Sie in Kapitel 3, „Verwendung von Smartcards zur Sicherung von Administratorkonten“.
Active Directory
Active Directory ist eine wichtige Komponente für die Implementierung von Smartcards. Active Directory in Windows Server 2003 unterstützt die Durchsetzung der interaktiven Smartcardanmeldung sowie die Zuordnung von Konten zu Zertifikaten. Durch diese Möglichkeit wird der private Schlüssel auf der Smartcard mit dem Zertifikat in Active Directory verknüpft. Bei der Anmeldung mit Smartcardanmeldeinformationen muss Active Directory die jeweilige Karte dem entsprechenden Benutzerkonto zuordnen. Weitere Informationen zur Zuordnung von Zertifikaten finden Sie unter Map Certificates to User Accounts (in englischer Sprache) auf der Website www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssch\_pki\_cyek.asp.
Zudem unterstützt Active Directory Sicherheitsgruppen und Gruppenrichtlinien und ermöglicht damit die Verwaltung von Smartcardanmeldevorgängen sowie die Smartcardbereitstellung.
Sicherheitsgruppen
Der Smartcardbereitstellungs- und -verwaltungsprozess ist bedeutend einfacher, wenn innerhalb von Active Directory Sicherheitsgruppen zum Organisieren von Benutzern verwendet werden. Für eine typische Smartcardbereitstellung kann z. B. die Einrichtung der folgenden Sicherheitsgruppen erforderlich sein:
Smartcardregistrierungsagenten. Smartcardregistrierungsagenten sind für die Verteilung von Smartcards an Benutzer zuständig. Im nächsten Abschnitt werden die Registrierungsagenten ausführlich behandelt.
Smartcardstaginggruppe. Die Smartcardstaginggruppe umfasst alle Benutzer, die für den Erhalt einer Smartcard autorisiert sind. Die Smartcards für diese Benutzer wurden jedoch noch nicht vom Registrierungsagenten registriert und aktiviert.
Smartcardbenutzer. Zu dieser Gruppe gehören sämtliche Benutzer, für die der Registrierungsvorgang bereits abgeschlossen und deren Smartcard aktiviert wurde. Der Registrierungsagent verschiebt entsprechende Benutzer aus der Smartcardstaginggruppe in die Gruppe der Smartcardbenutzer.
Weitere Informationen zum Erstellen von Gruppen finden Sie unter Checklist: Creating a Group (in englischer Sprache) auf der Website www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag\_adgroups\_checklist\_create\_group.asp.
Gruppenrichtlinie
Gruppenrichtlinien ermöglichen das Anwenden von Konfigurationseinstellungen auf mehreren Computern. Sie können die Verwendung von Smartcards für die interaktive Anmeldung ab Anforderung in einem Gruppenrichtlinienobjekt (GPO) festlegen und das GPO anschließend auf Organisationseinheiten oder Standorte in Active Directory anwenden. Weitere Informationen zur Verwendung von Gruppenrichtlinien finden Sie in Kapitel 3, „Verwendung von Smartcards zur Sicherung von Administratorkonten“.
Registrierungsstellen und -agenten
Ein Unternehmen kann für die Ausstellung von Smartcards und die Registrierung der Benutzer eine Weboberfläche nutzen, über die Benutzer ihre Anmeldeinformationen eingeben und daraufhin ihre Smartcard erhalten. Diese Vorgehensweise hat jedoch beträchtlichen Einfluss auf die Sicherheit der Smartcards: Sie werden damit auf dieselbe Sicherheitsstufe reduziert wie die auf der Weboberfläche eingegebenen Anmeldeinformationen. Die empfohlene Vorgehensweise besteht darin, Registrierungsstellen einzurichten und mindestens einen Administrator als Registrierungsagenten einzusetzen.
Hinweis: Unternehmen können eine MMC-Oberfläche (Microsoft Management Console) verwenden oder eigene Aktivierungsanwendungen entwickeln.
Unter einer typischen Registrierungsstation versteht man einen Computer mit zwei angeschlossenen Smarcardlesegeräten. Ein Lesegerät ist für die Anmeldung des Registrierungsagenten, das andere für das Ausstellen neuer Smartcards für Benutzer zuständig. Registrierungsstationen erfordern ein Registrierungszertifikat und müssen über die Berechtigung für den Zugriff auf Zertifikatsvorlagen verfügen. Die Registrierungsstation weist eine Gruppenrichtlinieneinstellung auf, die eine Abmeldung erzwingt, sobald der Registrierungsagent seine Smartcard entfernt.
Ein designierter Administrator übernimmt die Rolle des Registrierungsagenten und meldet sich mit seiner Smartcard an der Registrierungsstation an. Anschließend öffnet er die Webseite für Zertifikatsdienste, überprüft die Identität von Benutzern, registriert sie und stellt die registrierten Smartcards aus.
Ein Unternehmen sollte bei der Festlegung der erforderlichen Anzahl an Registrierungsstationen und deren Standorten mit äußerster Sorgfalt vorgehen. Es empfiehlt sich, eine Registrierungsstation in der zuständigen Sicherheitsabteilung unterzubringen (neben den Einrichtungen, die u. a. für die Vergabe von Zugriffsberechtigungen zu den Gebäuden und Räumlichkeiten des Unternehmens sind). Um die erstmalige Bereitstellung innerhalb eines großen Unternehmens zu beschleunigen, können Registrierungsagententeams in Zweigstellen Laptops als mobile Registrierungsstationen einsetzen.
Hinweis: Um den administrativen Aufwand zu reduzieren und die Überwachung der Smartcardregistrierung zu regeln, wird dringend empfohlen, die Zahl der für die Bereitstellung erforderlichen Registrierungsagenten und Registrierungsstationen auf ein Minimum zu begrenzen.
Aktivierungswebserver
Bei einem Aktivierungswebserver handelt es sich um eine benutzerdefinierte Komponente, die es Benutzern ermöglicht, ihre neuen Smartcards durch das Zurücksetzen der PIN zu aktivieren. Die Software Development Kits (SDKs) einiger Hersteller bieten Tools, die zur Konstruktion eines Aktivierungswebservers verwendet werden können. Microsoft bietet diese Aktivierungsserverkomponente nicht an.
Zum Zurücksetzen der PIN führt der jeweilige Benutzer das Dienstprogramm eines Kryptografiedienstanbieters aus, das einen hexadezimalen Anfragestring über die Smartcard generiert. Der Benutzer gibt diesen Anfragestring in ein Feld auf der Webseite ein, und der Aktivierungswebserver generiert eine Antwort. Der Benutzer gibt diese Antwort in das entsprechende Feld des Dienstprogramms ein und kann nun die PIN der Smartcard festlegen.
Der Aktivierungswebserver kann auch Teil des Verwaltungsprozesses sein. Helpdeskoperatoren können mithilfe dieses Prozesses Karten entsperren, bei denen der Benutzer zu oft eine falsche PIN eingegeben hat. In diesem Fall liest der Benutzer dem Helpdeskoperator die Anfrage vor. Dieser stellt dem Benutzer die entsprechende Antwort zur Verfügung.
EAP-TLS
Zertifikatbasierte Umgebungen mit hohen Sicherheitsanforderungen verwenden EAP-TLS für eine sichere Authentifizierungs- und Schlüsselbestimmungsmethode. EAP-TLS ermöglicht die gegenseitige Authentifizierung, die Aushandlung der Verschlüsselungsmethode sowie die Festlegung des Verschlüsselungsschlüssels zwischen Client und Authentifikator. RFC 2284 umfasst eine detaillierte Beschreibung des EAP.
Evaluierung von Smartcards
Bei der Evaluierung von Smartcards ist es besonders wichtig sicherzustellen, dass das ausgewählte Modell die von Ihnen gewünschte Schlüssellänge unterstützt. Windows Server 2003 unterstützt Zertifikatschlüsselgrößen von 384 Bit (geringes Maß an Sicherheit) bis 16.384 Bit (maximale Sicherheit).
Zertifikate mit langen Schlüsseln bieten ein höheres Maß an Sicherheit als Zertifikate mit kurzen Schlüsseln. Bei langen Schlüsseln wird jedoch mehr Zeit für das Anmelden mit der Smartcard benötigt. Die maximale Schlüssellänge wird auch durch die beschränkte Speicherkapazität bestimmt.
Zertifikatschlüsselgrößen von 1.024 Bit eignen sich für den Schutz von Administratorkonten oder Remotezugriff. Ein Zertifikat mit einem 1.024-Bit-Schlüssel nimmt auf der Smartcard etwa 2,5 KB Speicherplatz ein. Weitere Speicheranforderungen gelten für das Betriebssystem (16 KB), Smartcardanwendungen vom Hersteller (z. B. CSP mit 8 KB) sowie die Smartcarddateistruktur und die Smartcardverzeichnisstruktur (4 KB). Smartcards, die über weniger als 32 KB Speicher verfügen, sind daher in der Regel nicht für die Speicherung von Anmeldezertifikaten geeignet. Zudem ist es unwahrscheinlich, dass die für die Erweiterung der Smartcardlösung erforderliche Funktionalität gegeben ist.
Des Weiteren sollte bei der Evaluierung von Smartcards berücksichtigt werden, ob die Karte über integrierte Unterstützung für Windows Server 2003 und Windows XP verfügt. Informieren Sie sich vor dem Erwerb einer Smartcard beim jeweiligen Anbieter, ob die Karte Ihren Anforderungen entspricht.
Hinweis: Kaufen Sie Smartcards direkt beim jeweiligen Hersteller. Microsoft bietet keine Smartcards an.
Windows XP und die Windows Server 2003-Familie bieten integrierte Unterstützung für einige Smartcards. Zusätzliche RSA-basierte kryptografische Smartcards können jedoch ebenfalls problemlos mit diesen Betriebssystemen verwendet werden. Bei Karten, für die in Windows keine Unterstützung integriert ist, muss der Smartcardhersteller einen CSP für die Karte implementieren, der CryptoAPI verwendet.
Weitere Informationen zur Evaluierung von Smartcards finden Sie unter Evaluating Smart Cards and Readers (in englischer Sprache) auf der Website http://technet2.microsoft.com/windowsserver/en/library/0eae38ec-d6e5-4ca7-96a3-42f2fd6c6e741033.mspx.
PIN-Verwaltung
Smartcard-PINs können vom Benutzer jederzeit geändert werden. Hierfür steht ein Dienstprogramm zur Verfügung, mit dem der CSP das Dialogfeld für die PIN-Eingabe anzeigen kann. In dieses Dialogfeld gibt der Benutzer die alte PIN und anschließend zweimal die neue PIN ein. Da sich Benutzer selbst ausgewählte PINs leichter einprägen können, sollten Tools zum Ändern von PINs zur Verfügung stehen.
Hinweis: Benutzer müssen unter Umständen darauf aufmerksam gemacht werden, keine leicht zu erratenden PINs (z. B. Geburtsdaten, Autokennzeichen oder Telefonnummern) zu verwenden.
Der Benutzer ist für die PIN-Verwaltung unter Verwendung der Möglichkeiten, die der CSP bietet, verantwortlich. Über Windows XP und die Familie der Windows Server 2003-Betriebssysteme werden PINs nicht verwaltet. Informationen zu PIN-Verwaltungstools sowie die entsprechenden Anweisungen erhalten Sie beim jeweiligen Smartcardhersteller.
Die meisten Hersteller bieten Smartcards an, die sich direkt in Windows 2000 oder höher integrieren lassen – ohne dass zusätzliche Anpassungen oder Entwicklungen erforderlich sind. Diese Smartcards werden mit einer voreingestellten PIN geliefert. Sie können Einschränkungen definieren: Beispielsweise können Sie festlegen, dass für die Registrierung der Karte ein Zurücksetzen der PIN erforderlich ist. Viele Unternehmen halten derartige Vorgehensweisen jedoch nicht für akzeptabel.
Verwenden Sie zur Erstellung einer komplexen und sicheren PIN entsprechende PIN-Verwaltungstools, und legen Sie fest, dass ein Benutzer eine PIN mit fünf bis acht Zeichen verwenden muss. Vergewissern Sie sich, dass die Smartcard des von Ihnen ausgewählten Herstellers PINs mit bis zu acht Zeichen unterstützt.
Software Development Kits für Smartcards
Microsoft bietet keine standardmäßige Lösung für die Bereitstellung von Smartcards. Möglicherweise müssen Sie zusätzliche Anpassungen vornehmen, wenn Ihre Umgebung dies erfordert.
Smartcardhersteller bieten Software Development Kits (SDKs) sowie Personalisierungstools an, mit denen Unternehmen die Bereitstellung von Smartcards ihren Bedürfnissen entsprechend anpassen können. Beispielsweise können Entwickler ein SDK verwenden, um Smartcards mit dem Status „Pending“ (ausstehend) auszugeben. Nachdem der Registrierungsagent die Karte ausgegeben hat, aktiviert der Benutzer die Karte und ändert die PIN. Diese Methode bietet ein erhöhtes Maß an Sicherheit. Um von den Vorteilen dieser Methode profitieren zu können, müssen Sie für zusätzliche Anpassungen oder Entwicklungen entsprechende Mittel bereitstellen.
Evaluierung von Smartcardlesegeräten
Besonders wichtig bei der Auswahl eines geeigneten Smartcardlesegeräts ist es, das Gerät zu wählen, das Ihren Anforderungen am besten entspricht. Beispiel: Eine moderne Arbeitsstation, die sich unter dem Schreibtisch eines Administrators befindet, verfügt über mindesten zwei USB-Anschlüsse. In diesem Fall wäre ein USB-Smartcardlesegerät die beste Wahl. Das Smartcardlesegerät kann seitlich am Monitor oder an einer anderen gut zugänglichen Stelle angebracht werden. Benutzer, die über ihre Laptops RAS-Verbindungen herstellen, bevorzugen in der Regel Smartcardlesegeräte im PC-Kartenformat.
Smartcardlesegeräte können zudem in Tastaturen integriert sein. Auch diese Lesegeräte arbeiten über eine USB-Schnittstelle. Solche Tastaturen eignen sich für die Nutzung mit einem einzelnen Computer und können möglicherweise mit mehreren Computern in Server-Racks über mit USB ausgerüstete KVM-Schalter (Keyboard Video Mouse) verwendet werden. Informieren Sie sich beim jeweiligen KVM-Schalterhersteller, ob die Schalter Smartcardauthentifizierung für mehrere Server unterstützen.
Windows XP und die Windows Server 2003-Familie unterstützen die in der nachfolgenden Tabelle aufgelisteten Smartcardlesegeräte. Windows installiert die richtigen Treiber nach Erkennung des Plug & Play-Lesegeräts.
Hinweis: Microsoft empfiehlt ausdrücklich die Verwendung von Smartcardlesegeräten, die offiziell als Windows-kompatibel gekennzeichnet sind.
Tabelle 2.1: In Windows Server 2003 unterstützte Smartcardlesegeräte
Marke |
Modell |
Schnittstelle |
|---|---|---|
American Express |
GCR435 |
USB |
Bull |
SmarTLP3 |
Seriell |
Compaq |
Serielles Lesegerät |
Seriell |
Gemplus |
GCR410P |
Seriell |
Gemplus |
GPR400 |
PCMCIA |
Gemplus |
GemPC430 |
USB |
Hewlett Packard |
ProtectTools |
Seriell |
Litronic |
220P |
Seriell |
Schlumberger |
Reflex 20 |
PCMCIA |
Schlumberger |
Reflex 72 |
Seriell |
Schlumberger |
Reflex Lite |
Seriell |
SConnection Manager Microsystems |
SCR111 |
Seriell |
SConnection Manager Microsystems |
SCR200 |
Seriell |
SConnection Manager Microsystems |
SCR120 |
PCMCIA |
SConnection Manager Microsystems |
SCR300 |
USB |
Systemneeds |
Extern |
Seriell |
Omnikey AG |
2010 |
Seriell |
Omnikey AG |
2020 |
USB |
Omnikey AG |
4000 |
PCMCIA |
Hinweis: Bei Smartcardlesegeräten mit serieller Schnittstelle muss der Computer im Anschluss an die Installation neu gestartet werden. Für Serverimplementierungen ist diese Maßnahme möglicherweise nicht geeignet.
Die Verwendung von Smartcardlesegeräten, die nicht Plug & Play-fähig sind, wird von Microsoft weder unterstützt noch empfohlen. Wenn Sie ein solches Lesegerät verwenden, müssen Sie die Installationsanweisungen (einschließlich zugehöriger Gerätetreibersoftware) direkt vom jeweiligen Hersteller des Smartcardlesegeräts beziehen.
Szenario der Woodgrove National Bank
Die verbleibenden Kapitel dieses Handbuchs befassen sich mit dem Szenario der Woodgrove National Bank. Die Woodgrove National Bank ist eine fiktive internationale Investmentbank, die Privatkunden, Institutionen, Unternehmen und Regierungen in Finanzfragen betreut. Zu ihren Geschäftsfeldern zählen Emission, Verkauf und Handel von Wertpapieren, Finanzberatung, Anlageforschung, Venture Capital sowie Brokeragedienste für Kreditinstitute.
Die Woodgrove National Bank beschäftigt mehr als 15.000 Mitarbeiter in mehr als 60 Zweigstellen weltweit. Große zentrale Standorte (Hubstandorte) befinden sich in New York (5.000 Mitarbeiter), London (5.200 Mitarbeiter) und Tokio (500 Mitarbeiter). Jeder Hubstandort unterstützt mehrere Zweigstellen.
Obwohl für die Serverumgebung der Woodgrove Bank Windows Server und UNIX verwendet wird, beruht die Infrastruktur auf einem Windows Server-Backbone. Die Bank verfügt über 1.712 Windows-Server, auf denen zum größten Teil Windows Server 2003 ausgeführt wird. Etwa 100 dieser Server sind mit dem Internet verbunden. Zudem gibt es 18.000 Arbeitsstationen und 2.000 Laptops. Das Unternehmen ist im Begriff, eine Standardbasislinie mit Windows XP Professional mit SP2 sowie einen auf Windows Server 2003 mit SP1 basierenden Serverstandard einzurichten.
Die Mehrheit der Server befindet sich an den drei zentralen Standorten. Die Arbeitsstationen und Laptops sind über sämtliche Standorte verteilt, wobei sich die Laptops häufig zwischen verschiedenen Ländern oder Regionen bewegen. Die Woodgrove National Bank verwendet Microsoft Systems Management Server 2003 zur Verwaltung von Desktopcomputern und Laptops. Zur Verwaltung der Server verwendet die Bank Microsoft Operations Manager (MOM) 2005.
Die Woodgrove National Bank ist in den Ländern oder Regionen, in denen sie tätig ist, den jeweils geltenden Bestimmungen der zuständigen Finanzbehörde unterworfen. Darüber hinaus muss das Unternehmen alle geltenden Datenschutzgesetze einhalten und die Effektivität der Betriebssicherheit gewährleisten.
In den folgenden Abschnitten dieses Dokuments werden die Entwurfsalternativen erläutert, die von der Woodgrove National Bank bei der Planung der Smartcardbereitstellung in Erwägung gezogen werden.
Zusammenfassung
In diesem Kapitel wurden die für die Planung von Smartcardauthentifizierungslösungen erforderlichen allgemeinen Überlegungen einschließlich der entsprechenden Voraussetzungen wie PKI und Active Directory beschrieben. Darüber hinaus wurde die Notwendigkeit einer Evaluierung von Smartcards bzw. Smartcardlesegeräten erläutert und die Problematik in Bezug auf die Speicherkapazität von Smartcards, die Schlüsselgröße und die PIN-Verwaltung beleuchtet. Die folgenden Kapitel beschäftigen sich mit der Verwendung von Smartcards zum Schutz von Administratorkonten und Remotezugriff auf Netzwerke.
In diesem Beitrag
- Übersicht
- Kapitel 1 – Einführung
- Kapitel 2 – Smartcardtechnologien
- Kapitel 3 – Verwendung von Smartcards zur Sicherung von Administratorkonten
- Kapitel 4 – Verwendung von Smartcards zur Sicherung von RAS-Konten
- Anhang A – Verwandte Links
- Danksagung
Download
Planungshandbuch für sicheren Zugriff unter Verwendung von Smartcards herunterladen
Updatebenachrichtigungen
Melden Sie sich an, um über Updates und neue Versionen informiert zu werden
Feedback
Senden Sie uns Ihre Kommentare und Anregungen
.gif "Dd443738.pageLeft(de-de,TechNet.10).gif") 3 von 7 .gif "Dd443738.pageRight(de-de,TechNet.10).gif") |