Guia de Planejamento de Acesso Seguro Usando Cartões Inteligentes
Capítulo 2 -Tecnologias de cartão inteligente
Publicado em: 30 de junho de 2005 | Atualizado em: 7 de maio de 2007
O armazenamento de dados em rede é um requisito comercial essencial para quase todas as organizações. As organizações freqüentemente precisam conectar redes que contêm dados confidenciais e proprietários à Internet para fins de comunicação e de geração de receita. O constante interesse em maior conectividade revela um risco de segurança significativo, pois a maioria das organizações usa nomes de usuário e senhas para autenticação e autorização de acesso aos recursos de rede.
O Capítulo 1, "Introdução", destacou os principais problemas de segurança em relação a combinações de nome de usuário e senha. Como os nomes de usuário não são secretos, apenas a senha fornece segurança eficaz contra um invasor que tenta se fazer passar por um usuário válido. A compreensão da vulnerabilidade de credenciais com nome de usuário e senha resultou em um crescente aumento de interesse em sistemas de autenticação de dois fatores.
Nesta página
Autenticação de dois fatores
Pré-requisitos para a implementação
O cenário do Woodgrove National Bank
Resumo
Autenticação de dois fatores
A autenticação de dois fatores vai além da simples combinação de nome de usuário e senha e exige que o usuário envie alguma forma de token exclusivo junto com um PIN. Existem várias maneiras de implementar a autenticação de dois fatores e certamente muitas outras surgirão no futuro.
Tokens de hardware
Os tokens de hardware constituem um método de autenticação de dois fatores onde os usuários possuem um item físico, como um key fob ou um autenticador de cartão de crédito. Este hardware fornece um simples código único de autenticação, que geralmente é alterado a cada 60 segundos. Os usuários precisam casar o código único com um PIN secreto para identificar-se de modo exclusivo e obter acesso.
Os tokens de hardware fornecem muitos dos benefícios dos cartões inteligentes, mas podem envolver um processo mais complexo de planejamento e implantação. O Microsoft® Windows Server™ 2003 e o Windows® XP não oferecem suporte interno para tokens de hardware.
Cartões inteligentes
Os cartões inteligentes são cartões de crédito – itens de plástico de um determinado tamanho que contêm um microcomputador e uma pequena quantidade de memória, que proporcionam armazenamento seguro e à prova de violação para chaves particulares e certificados de segurança X.509. Os cartões inteligentes geralmente têm 32 ou 64 KB de memória EEPROM (Electrically Erasable Programmable Read Only Memory) e memória ROM (Read Only Memory), com apenas 1 KB de RAM. A memória ROM contém o sistema operacional do cartão inteligente, juntamente com a memória EEPROM que contém os arquivos e as estruturas de diretório, o miniaplicativo de gerenciamento do PIN e o certificado de autenticação. A RAM fornece memória de trabalho para operações de cartão, como criptografia e descriptografia.
Para ser autenticado em um computador ou através de uma conexão de acesso remoto, o usuário insere o cartão inteligente em um leitor apropriado e digita o PIN. O usuário não pode obter acesso apenas com o PIN, ou apenas com o cartão inteligente. Os ataques de força bruta aos PINs de cartão inteligente não são possíveis, pois o cartão inteligente é travado após várias tentativas malsucedidas de digitar o PIN. Como os PINs possuem geralmente oito caracteres ou menos, eles são mais fáceis de lembrar que as longas senhas de caracteres aleatórios. Os cartões inteligentes constituem o método de autenticação de dois fatores preferencial da Microsoft.
Observação: Os PINs de cartão inteligente não precisam ser numéricos. Os kits de desenvolvimento de fornecedores de cartão inteligente permitem que você especifique quantos caracteres alfabéticos, numéricos, em maiúsculas, em minúsculas ou não alfanuméricos são necessários.
A Microsoft implanta cartões inteligentes para administradores de domínio e para acesso remoto aos recursos de rede, e deseja promover esta prática como parte da iniciativa de defesa completa. Os serviços de consultoria e de atendimento ao consumidor da Microsoft, o Premier Support, os parceiros Microsoft e outros provedores de solução incentivam as organizações a usar cartões inteligentes para proteger o acesso à rede.
A lista a seguir descreve os passos necessários para implementar uma solução de cartão inteligente para administradores de rede:
Permita que os servidores de destino ofereçam suporte a logon interativo, secundário e de área de trabalho remota com contas habilitadas para uso com cartão inteligente.
Identifique os administradores que devem usar uma conta de administrador de nível de domínio habilitada para uso com cartão inteligente.
Implante leitores de cartão inteligente.
Desenvolva um processo seguro para distribuir os cartões inteligentes e inscrever os administradores.
A lista a seguir descreve o processo necessário para integrar uma solução de cartão inteligente para acesso remoto.
Atualize os servidores de acesso remoto para que ofereçam suporte para autenticação com cartão inteligente.
Identifique os usuários que devem usar cartões inteligentes para acesso remoto.
Implante leitores de cartão inteligente.
Distribua os cartões inteligentes aos administradores apropriados e inscreva os usuários remotos.
Pré-requisitos para a implementação
A implantação de cartão inteligente exige uma abordagem planejada para garantir que as organizações considerem todas as questões antes de iniciar a fase de implementação. Esta seção aborda os pré-requisitos mais comuns, embora possam haver requisitos adicionais em seu ambiente.
Identificação de contas
A identificação de usuários e de grupos que exigem acesso com cartão inteligente é uma parte importante da implantação de cartão inteligente.
Observação: As organizações que possuem o orçamento e os requisitos de segurança para implementar acesso com cartão inteligente para todos os usuários podem pular esta etapa.
Os grupos e usuários que exigem cartões inteligentes podem incluir:
Administradores de domínio para todos os domínios na floresta
Administradores de esquemas
Enterprise administrators
Administradores de bancos de dados
Administradores de recursos humanos
Usuários com acesso remoto
Usuários que possuem acesso de usuário ou administrativo a recursos confidenciais, como informações contábeis ou financeiras
Uma organização também pode exigir acesso com cartão inteligente para usuários e grupos não incluídos na lista anterior, como pessoal de nível de diretoria. A identificação dessas contas no início do processo ajuda a definir o escopo do projeto e a controlar os custos.
Para identificar contas importantes, você deve determinar quando usar cartões inteligentes. Por exemplo, as boas práticas de segurança recomendam que os administradores tenham duas contas de usuário: Uma conta padrão para as tarefas diárias como email, e uma conta de nível de administrador, para manutenção do servidor e outras tarefas administrativas. Geralmente, o administrador faz logon com a conta de nível de usuário e usa o serviço de logon secundário para realizar tarefas administrativas. Como alternativa, o administrador pode usar o componente Área de trabalho remota para administração do Windows Server 2003, que oferece suporte a logon com cartão inteligente. Para obter mais informações sobre contas de administrador, consulte a seção Identificação de contas de administrador e grupos no Capítulo 3, "Usando cartões inteligentes para ajudar a proteger contas de administrador".
Suporte para a infra-estrutura de cartão inteligente
Os cartões inteligentes exigem uma infra-estrutura apropriada com suporte dos elementos do sistema operacional e de rede. A Microsoft oferece suporte às implementações de cartão inteligente que usam os seguintes componentes:
Serviços de Certificados Microsoft ou PKI (Infra-estrutura de chave pública) externa
Modelos de certificados
Windows Server 2003
Serviço de diretório do Active Directory®
Grupos de segurança
Diretiva de grupo
Estações de registro e agentes de registro
Servidor Web de ativação
EAP – TLS (Extensible Authentication Protocol – Transport Layer Security) — exigido apenas para soluções de acesso remoto
Os componentes adicionais incluem estações de inscrição e agentes de inscrição.
PKI (Infra-estrutura de chave pública)
Os cartões inteligentes exigem uma PKI para fornecer certificados com pares de chave pública/particular que possibilitam o mapeamento de contas no Active Directory. Você pode implementar essa PKI de dois modos distintos: fornecendo a infra-estrutura de certificado interna a uma organização externa ou usando os Serviços de Certificados no Windows Server 2003. As organizações podem terceirizar todo ou partes do processo de gerenciamento de certificados para cartões inteligentes.
As organizações financeiras podem se beneficiar se associarem sua PKI a uma raiz confiável externa para verificação de email e para transações seguras com organizações parceiras. Uma abordagem alternativa é usar os Serviços de Certificados no Windows Server 2003 para fornecer a PKI.
Para obter mais informações sobre Serviços de Certificados no Windows Server 2003, consulte o site Infra-estrutura de chave pública para o Windows Server 2003 (em inglês) em www.microsoft.com/windowsserver2003/technologies/pki/default.mspx
A PKI deve ter um mecanismo que lide com a revogação de certificado. A revogação de certificado é necessária quando um certificado expira ou quando um invasor pode ter comprometido um certificado. Cada certificado inclui o local da sua lista de certificados revogados (CRL). Para obter mais informações sobre como gerenciar a revogação de certificados, consulte o tópico Gerenciar a revogação de certificados em https://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/7d82b420-10ef-4f20-a56f-17ee7ee352d2.mspx
Modelos de certificados
O Windows Server 2003 fornece modelos de certificados para emitir certificados digitais para uso em cartões inteligentes. Você pode copiar e personalizar esses certificados para atender aos requisitos da sua organização. Os três modelos de certificados para uso com cartão inteligente são:
Agente de inscrição. Permite a um usuário autorizado solicitar certificados para outros usuários.
Usuário de cartão inteligente. Permite que um usuário faça logon com um cartão inteligente e assine email. Também fornece autenticação de cliente.
Logon com cartão inteligente. Permite que um usuário faça logon com um cartão inteligente e fornece autenticação de cliente, mas não permite assinatura de email.
O Windows Server 2003, Enterprise Edition, fornece modelos da versão 2 (v2) que você pode modificar e estender para oferecer múltiplos recursos, como logon, mensagens de email assinadas e criptografia de arquivo. Você pode também estender modelos de certificados para fornecer informações adicionais necessárias à sua organização, como detalhes médicos ou valores de fundos de aposentadoria. O Windows Server 2003, Enterprise Edition, oferece suporte a inscrição automática, o que facilita o gerenciamento de cartões inteligentes em uma organização de grande porte. A solicitação de renovação do certificado pode usar o certificado atual para assinar a solicitação.
Observação: A Microsoft recomenda atualizar sua PKI do Windows Server 2003 para uma PKI do Windows Server 2003 com Service Pack 1 (SP1) para obter os benefícios de recursos de segurança aprimorados.
Para obter mais informações sobre modelos de certificados, consulte o tópico Modelos de Certificados em www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag\_ct\_topnode.asp.
Windows Server 2003
O Microsoft Windows 2000 Server oferece suporte a cartões inteligentes para acesso remoto e autenticação de administrador somente para logon no console. Para implementar cartões inteligentes para administradores, é necessário que os servidores gerenciados executem o Windows Server 2003, que oferece suporte a ações secundárias, como logon com cartão inteligente com conexões RDP (Remote Desktop Protocol). Este requisito de sistema operacional inclui os controladores de domínio. Para obter mais informações sobre este requisito, consulte o Capítulo 3, "Usando cartões inteligentes para ajudar a proteger contas de administrador".
Active Directory
O Active Directory é um componente-chave para a implementação das implantações de cartão inteligente. O Active Directory do Windows Server 2003 contém suporte interno para forçar o logon interativo através de cartão inteligente e a capacidade de mapear contas para certificados. Esse recurso de mapear contas de usuário para certificados vincula a chave privada no cartão inteligente ao certificado armazenado no Active Directory. A apresentação das credenciais de cartão inteligente no logon exige que o Active Directory faça a correspondência do cartão específico com uma conta de usuário exclusiva. Para obter mais informações sobre o mapeamento de certificados, consulte o tópico Map Certificates to User Accounts (em inglês) em www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssch\_pki\_cyek.asp.
O Active Directory também oferece suporte a grupos de segurança e Diretiva de Grupo para facilitar o gerenciamento do processo de logon com cartão inteligente e a emissão de cartão inteligente.
Grupos de segurança
O processo de implantação e gerenciamento de cartão inteligente é significativamente mais fácil quando você usa grupos de segurança dentro do Active Directory para organizar os usuários. Por exemplo, uma implantação típica de cartão inteligente pode exigir a criação dos seguintes grupos de segurança:
Agentes de inscrição de cartão inteligente. Os agentes de registro de cartão inteligente são responsáveis pela distribuição de cartões inteligentes aos usuários. A próxima seção aborda em detalhes os agentes de inscrição.
Grupo de espera de cartão inteligente. O grupo de espera de cartão inteligente contém todos os usuários autorizados a receber cartões inteligentes, mas que ainda não possuem um agente de inscrição registrado e cujos cartões estão desativados.
Usuários de cartão inteligente. Este grupo contém todos os usuários que concluíram o processo de inscrição e cujos cartões inteligentes foram ativados. O agente de registro move o usuário do grupo de preparo de cartão inteligente para o grupo de usuários de cartão inteligente.
Para obter mais informações sobre como criar grupos, consulte o tópico Checklist: Criando um grupo em https://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/4fc5b998-51f5-4bc5-863d-0ab0c6074285.mspx.
Diretiva de grupo
A Diretiva de Grupo permite que você aplique definições de configuração a múltiplos computadores. Você pode definir os requisitos para o uso de cartões inteligentes para logon interativo em um GPO (Objeto de Diretiva de Grupo) e, em seguida, aplicar aquele GPO a unidades ou sites organizacionais no Active Directory. Para obter mais informações sobre como usar a Diretiva de Grupo, consulte o Capítulo 3, "Usando cartões inteligentes para ajudar a proteger contas de administrador".
Estações de registro e agentes de registro
Uma organização pode usar uma interface baseada na Web para emitir ou inscrever usuários para cartões inteligentes, por meio da qual os usuários podem digitar suas credenciais e obter seu cartão inteligente. Entretanto, esse esquema reduz fortemente a segurança para o cartão inteligente para o mesmo nível das credenciais apresentadas na interface da Web. A solução preferencial é criar estações de registro e designar um ou mais administradores como agentes de registro.
Observação: As organizações podem usar uma interface MMC (Microsoft Management Console) ou desenvolver seus próprios aplicativos de ativação.
Uma estação de inscrição típica é um computador que possui dois leitores de cartão inteligente instalados. Um leitor permite que o agente de inscrição faça logon e o outro leitor emite novos cartões inteligentes aos usuários. As estações de inscrição exigem um certificado de inscrição e devem ter permissão para acessar os modelos de certificados. A estação de inscrição tem uma definição de Diretiva de Grupo que impõe o logoff assim que o agente de inscrição remove seu cartão inteligente.
Um administrador designado assume a função de agente de inscrição e usa seu cartão inteligente para fazer logon na estação de inscrição. Então ele abre a página da Web para serviços de certificado, verifica a identidade do usuário, inscreve o usuário e emite o cartão inteligente inscrito.
As organizações devem considerar com cautela o número necessário de estações de inscrição e a localização dessas estações. A organização pode alocar uma estação de inscrição dentro dos escritórios do departamento de segurança ao lado dos recursos que emitem acesso a instalações ou sites e outros passes de segurança. Para agilizar a implantação inicial em uma organização de grande porte, as equipes de agentes de inscrição podem usar laptops como estações de inscrição móveis nas filiais.
Observação: Para reduzir a complexidade administrativa e controlar a inscrição de cartão inteligente, é altamente recomendável que você restrinja o número de agentes de inscrição e de estações de inscrição ao número mínimo exigido para a implantação.
Servidor Web de ativação
Um servidor Web de ativação é um componente personalizado que permite aos usuários ativar seus novos cartões inteligentes através da redefinição de PIN. Os SDKs (Software Development Kits) de alguns fornecedores fornecem ferramentas para ajudar na construção de um servidor Web de ativação. A Microsoft não fornece o componente de servidor de ativação.
Para redefinir o PIN, o usuário executa um utilitário de CSP (Provedor de Serviços de Criptografia) que gera uma seqüência de caracteres de desafio hexadecimal a partir do cartão inteligente. O usuário digita essa seqüência de caracteres de desafio em um campo da página da Web e o servidor Web de ativação gera uma resposta. O usuário digita a resposta no campo de resposta do utilitário, que por sua vez permite que o usuário defina o PIN do cartão inteligente.
O servidor Web de ativação também pode ser parte do processo de gerenciamento. Os operadores do suporte técnico podem usar esse processo para desbloquear cartões quando o usuário digita um PIN incorreto mais vezes que o permitido. Nesse caso, o usuário lê o desafio ao operador de suporte técnico, que responde com a resposta.
EAP–TLS
Os ambientes de segurança baseados em certificados usam EAP-TLS (Extensible Authentication Protocol-Transport Level Security) para fornecer o método mais robusto de autenticação e determinação de chave. O EAP-TLS fornece autenticação mútua, negociação do método de criptografia e determinação de chave criptografada entre o cliente e o autenticador. O RFC 2284 fornece uma descrição detalhada do EAP.
Avaliando cartões inteligentes
O principal fator durante a avaliação dos cartões inteligentes é garantir que o modelo selecionado ofereça suporte ao comprimento de chave que planeja usar. O Windows Server 2003 oferece suporte a comprimentos de chave de certificado de 384 bits (baixa segurança) a 16.384 bits (máxima segurança).
Os certificados com comprimentos de chave mais longos oferecem maior segurança que os comprimentos de chave mais curtos, mas os comprimentos de chave mais longos aumentam significativamente o tempo necessário para fazer logon com um cartão inteligente. As limitações de memória no cartão inteligente também restringem o comprimento de chave máximo que você pode usar.
Os comprimentos de chave de certificado de 1.024 bits são adequados para proteger contas de administrador ou para proteger acesso remoto. Um certificado com uma chave de 1.024 bits ocupa aproximadamente 2,5 KB de espaço de memória no cartão inteligente. Outros requisitos de memória incluem o sistema operacional (16 KB), aplicativos do fornecedor de cartão inteligente, como o CSP (8 KB) e a estrutura de arquivo e de diretório do cartão inteligente (4 KB). Portanto, é improvável que os cartões inteligentes com menos de 32 KB de memória sejam adequados para o armazenamento de certificados de logon e que forneçam a funcionalidade necessária para estender a solução de cartão inteligente.
O segundo fator a ser levado em consideração é se o cartão tem suporte interno ao Windows Server 2003 e Windows XP. Antes de adquirir cartões inteligentes, discuta seus requisitos com o fornecedor.
Observação: Você deve obter cartões inteligentes diretamente de seus respectivos fornecedores. Os cartões inteligentes não estão disponíveis através da Microsoft.
Embora a família do Windows XP e do Windows Server 2003 incluam suporte interno a alguns cartões inteligentes, cartões inteligentes adicionais de criptografia baseada em RSA também funcionam bem com esses sistemas operacionais. Para os cartões que não têm suporte do Windows, o fornecedor do cartão deve implementar um CSP para o cartão que use o CryptoAPI.
Para obter mais informações sobre a avaliação de cartões inteligentes, consulte o tópico Evaluating Smart Cards and Readers (em inglês) em http://technet2.microsoft.com/windowsserver/en/library/0eae38ec-d6e5-4ca7-96a3-42f2fd6c6e741033.mspx.
Gerenciamento do PIN
Um usuário pode alterar o PIN de um cartão inteligente a qualquer momento através do uso de um utilitário que permita que o CSP exiba a caixa de diálogo do PIN da chave particular. Em seguida, o usuário deve digitar o PIN antigo e o novo PIN duas vezes. Como os usuários consideram fácil lembrar-se de PINs que eles mesmos selecionam, devem haver ferramentas disponíveis para permitir que alterem seu PIN.
Observação: Os usuários podem precisar ser lembrados de não criar PINs fáceis de adivinhar, como sua data de nascimento, placa do carro ou número de telefone.
O usuário é responsável pelo gerenciamento do PIN através dos recursos que o CSP fornece. A família de sistemas operacionais Windows XP e Windows Server 2003 não gerencia PINs. Para obter ferramentas e instruções de gerenciamento de PIN, entre em contato com seu fornecedor de cartão inteligente.
A maioria dos fornecedores de cartão inteligente oferece cartões inteligentes que se integram diretamente com o Windows 2000 ou versões posteriores, sem a necessidade de personalização ou desenvolvimento adicionais. Os fabricantes fornecem esses cartões inteligentes com um PIN predefinido, e você pode estabelecer restrições no cartão, como solicitar que o cartão exija redefinição de PIN na inscrição. Entretanto, muitas empresas não consideram esse esquema aceitável.
Para criar um PIN mais complexo e seguro, use as ferramentas de gerenciamento de PIN para exigir que os usuários escolham um PIN com cinco a oito caracteres. Verifique se o fabricante de cartão inteligente que você selecionar oferece suporte a PINs de até oito caracteres.
SDKs (Kits de Desenvolvimento de Software) de cartão inteligente
A Microsoft não fornece uma solução pronta para implantação de cartão inteligente. Você precisará fazer personalizações adicionais se o seu ambiente exigir.
Os fornecedores de cartão inteligente oferecem SDKs e ferramentas de personalização que permitem que as organizações adaptem suas implantações de cartão inteligente às suas necessidades. Por exemplo, os desenvolvedores podem usar um SDK para emitir cartões inteligentes em pendência. Quando o agente de inscrição emitir o cartão, o usuário ativa o cartão e altera o PIN. Se quiser se beneficiar da maior segurança que esse método oferece, você deve preparar-se financeiramente para personalização e desenvolvimento adicionais.
Avaliando leitores de cartão inteligente
O fator principal ao selecionar um leitor de cartão inteligente é escolher um que seja adequado aos seus objetivos. Por exemplo, uma estação de trabalho moderna que está posicionada debaixo da mesa de um administrador possui duas ou mais conexões USB, portanto um leitor de cartão inteligente USB provavelmente é a melhor opção. O usuário pode anexar o leitor de cartão inteligente à lateral de seu monitor ou colocá-lo em outra posição conveniente. Os usuários que fazem uso de conexões de acesso remoto a partir de laptops geralmente preferem um leitor de cartão inteligente em formato de placa PC.
Os teclados podem incluir leitores de cartão inteligente que também funcionam através de interface USB. Esses teclados são adequados para uso com um único computador e podem funcionar com múltiplos computadores em racks de servidor através de comutadores KVM (Keyboard Video Mouse) com USB. Verifique com o seu fabricante de comutador KVM se seus comutadores KVM oferecem suporte a autenticação com cartão inteligente a múltiplos servidores.
As famílias Windows XP e Windows Server 2003 oferecem suporte aos leitores de cartão inteligente relacionados na lista a seguir: O Windows instala os drivers corretos mediante detecção do hardware Plug and Play do leitor de cartão inteligente.
Observação: A Microsoft recomenda que você use leitores de cartão inteligente que apresentem o logotipo de compatibilidade com Windows.
Tabela 2.1: Leitores de cartão inteligente com suporte no Windows Server 2003
Marca |
Modelo |
Interface |
|---|---|---|
American Express |
GCR435 |
USB |
Bull |
SmarTLP3 |
Serial |
Compaq |
Leitor serial |
Serial |
Gemplus |
GCR410P |
Serial |
Gemplus |
GPR400 |
PCMCIA |
Gemplus |
GemPC430 |
USB |
Hewlett Packard |
ProtectTools |
Serial |
Litronic |
220P |
Serial |
Schlumberger |
Reflex 20 |
PCMCIA |
Schlumberger |
Reflex 72 |
Serial |
Schlumberger |
Reflex Lite |
Serial |
SConnection Manager Microsystems |
SCR111 |
Serial |
SConnection Manager Microsystems |
SCR200 |
Serial |
SConnection Manager Microsystems |
SCR120 |
PCMCIA |
SConnection Manager Microsystems |
SCR300 |
USB |
Systemneeds |
Externo |
Serial |
Omnikey AG |
2010 |
Serial |
Omnikey AG |
2020 |
USB |
Omnikey AG |
4000 |
PCMCIA |
Observação: Os leitores de cartão inteligente que usam uma interface serial exigem que o computador seja reiniciado após a instalação. Esse requisito pode não ser aceitável para implementações em servidores.
A Microsoft não oferece suporte nem recomenda o uso de leitores de cartão inteligente que não sejam Plug and Play. Caso você use esse tipo de leitor, você deve obter instruções de instalação (isso inclui software de driver para o dispositivo associado) diretamente do fabricante do leitor de cartão inteligente.
O cenário do Woodgrove National Bank
Os capítulos restantes deste guia usam o cenário do Woodgrove National Bank. O Woodgrove National Bank é um banco de investimentos de liderança mundial fictício que serve a clientes institucionais, corporativos, governamentais e individuais em seu papel de intermediário financeiro. Seus negócios incluem concessão de crédito, vendas e negociações, serviços de assessoria financeira, pesquisa de investimento, capital de risco e serviços de corretagem para instituições financeiras.
O Woodgrove National Bank emprega mais de 15.000 pessoas em mais de 60 escritórios em todo o mundo. Possui matrizes corporativas (locais concentradores) com grande número de funcionários em Nova Iorque (5.000 funcionários), Londres (5.200 funcionários) e Tóquio (500 funcionários). Cada local concentrador oferece suporte a várias filiais
Embora o Woodgrove National Bank tenha um ambiente servidor misto que usa Windows Server e UNIX, sua infra-estrutura é executada em backbone Windows Server. Possui 1.712 servidores Windows, a maioria executando Windows Server 2003. Cerca de 100 desses servidores estão conectado à Internet. Também possui 18.000 estações de trabalho dentro da organização e 2.000 laptops. A organização está em processo de padronização do uso do Windows XP Professional com SP2 e servidor com Windows Server 2003 com SP1.
A maioria dos servidores está localizada em três locais de matriz corporativa. A organização distribuiu estações de trabalho e laptops em todas as suas localizações. Os laptops freqüentemente viajam entre países ou regiões. O Woodgrove National Bank usa o SMS (Microsoft Systems Management Server) 2003 para gerenciar os computadores de mesa e laptop e o MOM (Microsoft Operations Manager) 2005 para gerenciar servidores.
O Woodgrove National Bank deve operar dentro dos requisitos estabelecidos pela estrutura normativa financeira relevante para cada país/região em que opera. Além disso, também deve estar em conformidade com todas as legislações de proteção de dados aplicáveis e demonstrar segurança operacional eficaz.
O restante deste documento descreve as opções de projeto disponíveis para o Woodgrove National Bank durante o planejamento de sua implantação de cartão inteligente.
Resumo
Este capítulo descreveu as considerações básicas necessárias ao planejamento de soluções de autenticação com cartão inteligente, incluindo seus pré-requisitos, como PKI e Active Directory. Ele destacou a necessidade de avaliação de cartões inteligentes e leitores de cartão inteligente, abordando as questões relacionadas à memória do cartão inteligente, ao comprimento da chave e ao gerenciamento do PIN. Os capítulos seguintes concentram-se nos aspectos exclusivos do uso de cartões inteligentes para ajudar a proteger contas de administrador e para ajudar a proteger o acesso remoto a redes.
Neste artigo
Download
Obtenha o Guia de Planejamento de Acesso Seguro Usando Cartões Inteligentes
Notificações de atualizações
Inscreva-se para obter informações sobre atualizações e novos lançamentos
Comentários