Guia de Planejamento de Acesso Seguro Usando Cartões Inteligentes
Capítulo 4 - Usando cartões inteligentes para ajudar a proteger as contas de acesso remoto
Atualizado em: 30 de junho de 2005
A maioria das organizações deve fornecer acesso remoto aos recursos de rede através de conexões dial-up ou VPN (Rede virtual privada). As constantes mudanças nas práticas comerciais, como a provisão de suporte a usuários remotos ou a vendedores de campo, somente acelerarão essa tendência. Embora o acesso remoto proporcione inúmeras vantagens a uma organização, qualquer acesso externo expõe a rede da organização a potenciais ameaças de segurança. A autenticação de dois fatores é um requisito cada vez mais exigido em redes que oferecem suporte a acesso remoto.
Nesta página
Protegendo o acesso remoto com cartões inteligentes
Problemas e requisitos
Projetando a solução
Resumo
Protegendo o acesso remoto com cartões inteligentes
O acesso remoto deve permitir que todos os funcionários acessem os recursos da intranet da organização. Para facilitar acesso remoto através da VPN, você deve abrir as portas nos seus firewalls externos. Essa maior acessibilidade cria uma rota através da qual os invasores podem penetrar na rede.
O capítulo 1, "Introdução", deste guia salienta que a autenticação de contas baseada em nomes de usuário e senhas concentra toda a segurança de controle de acesso na senha. As senhas são vulneráveis à violação, e as credenciais de uma conta violada que tenha acesso remoto a uma rede corporativa podem ser de muito interesse para as organizações criminosas.
Embora você consiga configurar uma diretiva de bloqueio de senha de domínio, a diretiva de bloqueio de conta oferece uma oportunidade para ataques de negação de serviço (DoS), bloqueando constantemente a conta do usuário remoto. Embora esse ataque não comprometa quaisquer informações na rede, ele causa frustração ao usuário bloqueado.
Uma autenticação de usuário segura que usa certificados digitais incorporados em um cartão inteligente oferece um meio robusto e flexível de proteger conexões de acesso remoto.
Requisitos do cliente
O uso de cartões inteligentes para controlar o acesso remoto depende dos componentes em execução no cliente remoto. Você deve ter um bom nível de conhecimento desses componentes e, particularmente, do Gerenciador de Conexões e do Kit de Administração do Gerenciador de Conexões (CMAK). O Gerenciador de Conexões centraliza e automatiza o estabelecimento e o gerenciamento de conexões de rede. O Gerenciador de Conexões oferece suporte às seguintes áreas importantes para a configuração de acesso com cartão inteligente:
EAP-TLS (Extensible Authentication Protocol – Transport Layer Security) para VPN e conexões de acesso remoto
Verificações de segurança a nível de aplicativo para gerenciar as configurações do computador cliente automaticamente
Verificações e validações de segurança de computadores que fazem parte do processo de logon
Para obter mais informações sobre o Kit de Administração do Gerenciador de Conexões e CMAK, consulte Kit de Administração do Gerenciador de Conexões em https://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/be5c1c37-109e-49bc-943e-6595832d5761.mspx.
Gerenciador de Conexões para o cliente
Para implementar uma solução de acesso remoto gerenciável, você deve criar e implantar configurações do Gerenciador de Conexões a múltiplos clientes. Para fazer isso, é necessário criar perfis no Gerenciador de Conexões.
Os perfis do Gerenciador de Conexões são pacotes de discagem personalizados do cliente Gerenciador de Conexões que você cria com o CMAK e aplica a computadores clientes em um arquivo executável auto-extraível. Você pode usar quaisquer mecanismos de distribuição de software para distribuir perfis, como Diretiva de Grupo, Microsoft® Systems Management Server 2003, CDs ou chaves USB.
Quando você abre o arquivo executável, ele instala o perfil no computador local, juntamente com os números de telefone ou endereços de host para conexão com os servidores de acesso remoto. Quando um usuário inicia uma conexão através de seu perfil do Gerenciador de Conexões, o Gerenciador de Conexões verifica a presença de um cartão inteligente e solicita o PIN ao usuário. Se o usuário fornece o PIN correto, o Gerenciador de Conexões estabelece as conexões dial-up e VPN apropriadas e autentica as credenciais do usuário.
O Gerenciador de Conexões também simplifica o processo de conexão para o usuário. Ele limita o número de opções de configuração que um usuário pode modificar, e ajuda a garantir ao usuário que suas conexões serão sempre bem-sucedidas. As organizações podem personalizar o Gerenciador de Conexões para definir:
Números de telefone disponíveis. Uma lista de números de telefone disponíveis ao usuário baseada em seu local físico.
Conteúdo personalizado. O discador pode incluir gráficos, ícones, mensagens e conteúdo da Ajuda personalizados
Conexões pré-encapsulamento. Uma conexão dial-up à Internet que ocorre automaticamente antes da tentativa de conexão VPN.
Ações de pré-conexão e pós-conexão. Os exemplos incluem a capacidade de redefinir o perfil do discador ou a configuração do Firewall do Windows para ignorar as exceções às regras de filtragem de pacotes.
Requisitos de sistema operacional
A solução de cartões inteligentes para acesso remoto funciona somente com o Microsoft Windows® XP Professional. A Microsoft recomenda o Windows XP Professional com SP2 ou posterior. Os computadores clientes devem ter todas as atualizações de segurança mais recentes instaladas.
Requisitos de servidor
Os requisitos de servidor para acesso com cartão inteligente são relativamente simples. Os servidores de acesso remoto devem executar o Windows 2000 Server ou posterior e oferecer suporte para EAP-TLS.
Observação: Diferentemente dos cartões inteligentes para o cenário de administradores, os cartões inteligentes para o cenário de acesso remoto não requerem o Microsoft Windows Server™ 2003, embora seja altamente recomendado atualizar sua PKI para o Windows Server 2003 com Service Pack 1 (SP1) ou posterior.
Considerações de dial-up e VPN
A solução usa cartões inteligentes para assegurar acesso remoto seguro e oferece suporte para acesso dial-up através de conexões ISDN (Integrated Services Digital Network) ou PSTN (Public Switched Telephone Network), mas os usuários podem experimentar um maior tempo de logon.
As conexões remotas que usam conexões VPN depositam uma carga de processador adicional no servidor de acesso remoto. O logon seguro com cartão inteligente não aumenta de forma perceptível essa carga, mas pode aumentar o tempo de logon. Os servidores de acesso remoto VPN que atendem a um alto volume de conexões de entrada requerem processadores rápidos, de preferência em uma configuração de multiprocessadores. As organizações que usam VPNs protegidas por IPsec podem implementar cartões de rede que descarregam o processo de criptografia IPsec em um processador separado na placa de rede.
Suporte para EAP (Extensible Authentication Protocol)
O EAP-TLS é um mecanismo de autenticação mútua desenvolvido para uso com métodos de autenticação juntamente com dispositivos de segurança, como cartões inteligentes e tokens de hardware. O EAP-TLS é compatível com PPP (Point-to-Point Protocol) e conexões VPN. Ele permite a troca de chaves secretas compartilhadas para MPPE (Microsoft Point-to-Point Encryption).
Os principais benefícios do EAP-TLS são sua resistência a ataques de força bruta e sua compatibilidade com autenticação mútua. Com autenticação mútua, tanto o cliente como o servidor devem provar sua identidade um ao outro. Se nenhum dos dois enviar um certificado para validar sua identidade, a conexão é terminada.
O Windows Server 2003 oferece suporte para EAP-TLS para conexões dial-up e VPN, o que permite aos usuários remotos usar cartões inteligentes. Para mais informações sobre o EAP-TLS, consulte o tópico Protocolo de Autenticação Extensível (em inglês) no site https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/auth_eap.mspx
Para obter mais informações sobre os requisitos de certificado EAP, consulte Requisitos de certificado ao usar EAP-TLS e PEAP com EAP-TLS (em inglês) em https://support.microsoft.com/default.aspx?scid=kb;en-us;814394
Identificar requisitos de servidor de autenticação
Para fazer o logon, os usuários remotos precisam apresentar suas credenciais a um serviço de autenticação. O Windows fornece dois serviços de autenticação para usuários remotos:
Servidores IAS (Serviço de Autenticação da Internet)
Serviço de diretório do Active Directory®
Se a sua organização decidir usar provedor de autenticação RADIUS (Remote Authentication Dial-In User Service), você deve incluir os servidores IAS na sua configuração. O IAS é a implementação da Microsoft do RADIUS, e funciona como um serviço no Windows 2000 Server ou posterior.
As organizações podem obter benefícios da implementação de IAS para autenticação RADIUS com cartões inteligentes, incluindo:
Autorização e autenticação do usuário centralizadas
Mecanismos separados de gerenciamento e contabilidade
Vasta gama de opções de autorização e autenticação
O servidor IAS gerencia o processo de autenticação. O IAS envia a solicitação de autenticação do usuário e as informações de certificado de logon ao Active Directory, que compara o certificado de logon com as informações de certificado armazenadas para aquele usuário remoto. Se as informações de certificado corresponderem, o Active Directory autentica o usuário.
Para obter mais informações sobre o projeto de uma solução que usa IAS, consulte a seção "Projetando a solução" mais adiante neste capítulo.
Distribuição e inscrição de cartões inteligentes para acesso remoto
A distribuição e inscrição de cartões inteligentes para acesso remoto seguem um processo semelhante ao da solução para conta de administrador, como descrito no Capítulo 3, "Usando cartões inteligentes para ajudar a proteger contas de administrador". As principais diferenças são o número maior de usuários e o fato do processo ocorrer em vários países/regiões.
A verificação da identidade do usuário remoto é ainda uma parte importante do processo. Todavia, como os usuários remotos não têm os mesmos direitos que os administradores, o uso de identificação com foto, como passaporte ou carteira de motorista, deve ser adequado para fins de identificação. Um gerente deve fornecer justificação antes do administrador conceder acesso remoto ao usuário.
As estações de inscrição ainda devem estar posicionadas em locais adequados, tal como o departamento pessoal ou de segurança, onde os usuários podem coletar seus cartões inteligentes. Se um usuário não puder ir até uma estação de inscrição, você poderá usar ferramentas remotas para desbloquear, registrar o usuário e ativar o cartão inteligente.
O procedimento de inscrição exige que um agente de inscrição gere a solicitação de certificado em nome do usuário e instale o certificado resultante no cartão inteligente. O agente de inscrição envia o cartão inteligente bloqueado ao usuário através de um método de entrega seguro. Em seguida, o usuário contata o serviço de atendimento, estabelece sua identidade e desbloqueia o cartão inteligente, conforme descrito na seção Servidor Web de ativação do Capítulo 2, "Tecnologias de cartão inteligente".
Mais considerações
Normalmente, a introdução de acesso remoto protegido dentro de uma organização resulta em um aumento do número de usuários que desejam usar o serviço. As organizações devem rever sua infra-estrutura de rede atual e, quando necessário, oferecer recursos adicionais. As áreas a serem consideradas são:
Listas de certificados revogados
Alta disponibilidade e banda larga
Distribuição de atualização de software
Listas de certificados revogados
A implementação de certificados para usuários remotos envolve mudanças relacionadas à forma como os clientes podem localizar uma lista de certificados revogados (CRL) para verificar a validade de um certificado. A URL padrão para a CRL do Windows Server 2003 aponta para um local na intranet, por exemplo URL=http://Certification_Root_Server_DNS_Name/CertEnroll/
Certification_Authority_Name.crl.
Para os usuários remotos, essa URL deve apontar para um local acessível a partir da Internet. Esse requisito envolve todos os certificados emitidos e inclui as URLs de intranet e extranet para a CRL. Para obter mais informações sobre a personalização de CRLs, consulte o tópico Especificar pontos de distribuição da lista de certificados revogados no tópico de certificados emitidos em https://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_CSprocs_CDP.asp.
Observação: Os computadores remotos podem apresentar problemas de tempo limite se baixarem a CRL através de uma conexão lenta.
Distribuição de atualização de software
A implementação de um mecanismo para a distribuição de atualizações de software é um passo importante no fornecimento de cartões inteligentes para acesso de usuário. As atualizações de software incluem perfis do Gerenciador de Conexões e novos lançamentos de ferramentas para cartões inteligentes.
Você pode distribuir atualizações de software através de:
Servidores Web acessíveis externamente que contenham as atualizações.
CDs ou chaves USB.
Soluções de gerenciamento de software, como o SMS (Systems Management Server) 2003.
Mensagens de email que contenham atualizações assinadas por código.
Se você implementar quarentena de VPN, é possível distribuir atualizações de perfis do Gerenciador de Conexões através do mesmo método usado para fornecer atualizações de segurança e software antivírus. Para obter mais informações sobre quarentena de VPN, consulte Guia de Planejamento de Implementação dos Serviços de Quarentena com VPN da Microsoft em https://go.microsoft.com/fwlink/?LinkId=41307.
O fornecimento de atualizações do Gerenciador de Conexões e de cartões inteligentes através de servidores Web acessíveis externamente permite aos usuários baixar as atualizações antes de estabelecer uma conexão à rede da organização. A desvantagem dessa solução é que talvez não seja possível usar o cartão inteligente para ser autenticado no servidor Web externo. Nesse caso, os usuários devem contar com a combinação de nome de usuário e senha para fazer logon e baixar atualizações. Embora isso pareça prejudicar a finalidade de autenticação de dois fatores, é possível que você considere esse risco aceitável, uma vez que esse servidor Web oferece apenas recursos de atualização.
O uso de CDs para distribuir atualizações é um método útil de distribuição inicial em grande escala, já que o custo de cada CD cai com a produção em massa. As chaves USB são mais apropriadas para a distribuição de atualizações individualmente.
O uso de sistemas de gerenciamento de software como o Systems Management Server 2003 para distribuir atualizações requer a conexão de computadores à rede. Esse mecanismo pode ser adequado para usuários móveis e remotos que se conectam à LAN regularmente e para aqueles que usam computadores membros do domínio da organização. Contudo, os mecanismos de atualização de software, como o Systems Management Server, não são apropriados para usuários remotos que usam seus próprios computadores em casa.
Você pode enviar atualizações por email em algumas situações. Para implementar esse método de distribuição de software, você deve fornecer atualizações assinadas por código e treinar os usuários para verificar a autenticidade do certificado assinado por código.
Esta seção abordou os componentes que podem fornecer autenticação com cartão inteligente para contas de acesso remoto. A próxima seção sobre Problemas e requisitos aborda os problemas enfrentados pelo Woodgrove National Bank durante a implementação de cartões inteligentes.
Problemas e requisitos
Durante a fase de planejamento e desenvolvimento da solução de acesso remoto com cartão inteligente, o departamento de TI do Woodgrove encontrou vários problemas comerciais, técnicos e de segurança. A seção a seguir identifica esses problemas.
Background para o cenário do Woodgrove National Bank
O Woodgrove National Bank fornece aos vendedores, funcionários do suporte técnico e executivos acesso remoto à sua rede corporativa. A atual solução de acesso remoto utiliza rede dial-up através de circuitos privados em servidores de acesso remoto dedicados equipados com modems ou adaptadores ISDN (Integrated Services Digital Network). Essas conexões são lentas e dispendiosas quando comparadas à conexões de banda larga, particularmente para os usuários remotos que viajam o mundo inteiro.
A disponibilidade cada vez maior de acesso à Internet por banda larga permite às organizações usar VPN para acesso remoto. Esse método reduz os custos através da eliminação do acesso dial-up e oferece uma experiência melhor aos usuários, embora também aumente a vulnerabilidade do banco a ataques mal-intencionados.
Conformidade com requisitos legais
Como o Woodgrove National Bank é uma instituição financeira, ele deve cumprir com requisitos legais rígidos em vários países/regiões. O banco deve manter a confiança dos clientes através da proteção dos ativos corporativos e dos clientes. O Woodgrove National Bank implementou uma iniciativa de computadores seguros e estabeleceu diretivas de segurança rígidas em todos os computadores com aceso à rede da empresa, independentemente de se conectarem à LAN ou remotamente.
Verificando usuários
A solução de acesso remoto atual do Woodgrove National Bank não está adequadamente preparada contra ataques com falsa identidade (no qual o invasor tenta adivinhar a combinação de nome de usuário e senha). Os ataques com falsa identidade causam o bloqueio de contas de acesso remoto, o que impede que o usuário legítimo se conecte. Essa vulnerabilidade aumenta o risco à rede corporativa, e forçou o Woodgrove National Bank a limitar as opções de conectividade oferecidas a seus funcionários.
Questões comerciais
Muitos executivos usam acesso remoto. Embora a segurança seja primordial durante a implantação de uma solução de cartão inteligente, manter a produtividade do funcionário remoto também é importante. A solução implantada deve equilibrar essas necessidades.
Mantendo a produtividade
Geralmente, os funcionários perdem a confiança em soluções baseadas em segurança que afetam a produtividade. Freqüentemente, os usuários ficam frustrados se não conseguem acessar os recursos de rede durante e logo após a implantação de uma solução. O departamento de TI do Woodgrove precisa fornecer métodos de acesso alternativos para ajudar a superar essas frustrações. A lista de ferramentas a seguir oferece métodos alternativos de acesso à rede:
Outlook Web Access. Oferece ao usuário acesso seguro a emails através de um navegador da Web.
Área de Trabalho Remota e Serviços de Terminal. Os funcionários podem usar a Área de Trabalho Remota e os Serviços de Terminal para acessar os aplicativos de linha de negócios e os arquivos da área de trabalho.
Suporte técnico
A aceitação do usuário e a integridade de uma solução de acesso remoto dependem, muitas vezes, do nível de suporte disponível. Os executivos ficam frustrados se perdem tempo em filas de suporte. As organizações devem financiar tanto o treinamento do usuário final e como o dos funcionários do suporte técnico.
Questões técnicas
O Woodgrove National Bank identificou vários problemas técnicos importantes que requerem atenção antes da implantação do uso de cartão inteligente para acesso remoto. Esses problemas incluem distribuição de cartões inteligentes e leitores de cartão inteligente, a integração da solução na rede atual com o mínimo de interrupção e a integração com a infra-estrutura de gerenciamento de TI atual.
Leitores de cartão inteligente com suporte. É provável que os usuários remotos trabalhem de casa em uma variedade de computadores com vários sistemas operacionais. O departamento de TI do Woodgrove decidiu que o único sistema operacional com suporte seria o Windows XP Professional com SP2 ou posterior. Os usuários remotos que executam o Windows 2000 Professional não tiveram nenhuma garantia de que os leitores de cartão inteligente funcionariam em seus computadores.
Latência de rede. O tempo que os pacotes levam para ir do cliente ao servidor de acesso remoto e voltar pode causar falhas em conexões protegidas por VPN. Isso é particularmente problemático em conexões de banda larga via satélite. O Woodgrove National Bank decidiu não oferecer suporte a conexões remotas que apresentassem tempos de latência médios superiores a 300 milissegundos.
Distribuição de cartões inteligentes. Como o Woodgrove National Bank opera em vários países/regiões do mundo, a distribuição de cartões inteligentes é um problema tanto técnico como de segurança. Os agentes de inscrição precisam ser capazes de contatar o servidor Web de ativação, independentemente do país/região em que se encontrem. Alternativamente, os usuários deverão desbloquear os cartões inteligentes através de um sistema de desafio/resposta. Para gerar esse sistema de desafio/resposta, pode ser necessário esforço de desenvolvimento junto ao kit de desenvolvimento de software (SDK) do fornecedor do cartão inteligente.
Problemas de segurança
Os problemas a seguir afetam a estratégia de segurança do Woodgrove National Bank com relação à implementação de acesso remoto seguro com o uso de cartões inteligentes:
Identificação do usuário de acesso remoto. O departamento de TI do Woodgrove National Bank deve validar a identidade dos usuários com acesso remoto durante o processo de distribuição e ativação do cartão inteligente.
Exceções de conexão para a solução do Woodgrove. Como os cartões inteligentes podem ser perdidos, roubados ou simplesmente esquecidos, o departamento de TI do Woodgrove deve garantir que sua solução de implantação de cartão inteligente inclui um método rápido e seguro de distribuição de cartões inteligentes substitutos, bem como um método para lidar com as exceções enquanto os cartões substitutos estiverem em trânsito.
Requisitos da solução
O requisito da solução para usar cartões inteligentes para proteger contas de acesso remoto inclui os seguintes componentes:
IAS (Serviço de autenticação da Internet). Os servidores IAS atuais requerem atualizações para o Windows Server 2003 com Service Pack 1 ou posterior para permitir o uso de filtros de IP avançados e a aceitação de atributos específicos de fornecedores. Além disso, o departamento de TI do Woodgrove deve habilitar o suporte para EAP-TLS nos servidores de acesso remoto.
Modelos de usuários de cartões inteligentes. O Woodgrove National Bank deve personalizar os modelos de certificados e definir as permissões corretas nos modelos. O agente de inscrição de certificados e os modelos de logon com cartão inteligente requerem permissões adequadas.
Observação: Você pode restringir o acesso remoto a certificados com cartão inteligente estabelecendo uma diretiva de acesso remoto que aceite apenas um certificado com um identificador de objetos específico. Para obter mais informações sobre os modelos de certificados e identificadores de objetos, consulte o documento Implementando e administrando modelos de certificados no Windows Server 2003 (em inglês) em https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.mspx.
Ferramentas de gerenciamento de PIN. Os usuários precisam de um utilitário de software para gerenciar seus próprios PINs. A maioria dos fornecedores de cartões inteligentes oferece ferramentas de gerenciamento de PIN básicas. O departamento de TI do Woodgrove decidiu oferecer personalização adicional para integrar a ferramenta de gerenciamento de PIN com um utilitário de desbloqueio de PIN remoto.
GPOs (Objetos de Diretiva de Grupo). O departamento de TI do Woodgrove deve criar o GPO apropriado para sua estrutura de unidade organizacional. Esses GPOs devem incluir configurações para dar suporte a exceções, tal como um usuário que perde ou esquece seu cartão inteligente ou PIN.
Perfis do Gerenciador de Conexões. O departamento de TI do Woodgrove deve criar perfis do Gerenciador de Conexões especialmente configurados que contenham as configurações apropriadas de conexão por servidor VPN ou dial-up para os servidores de acesso remoto do Woodgrove. O departamento de TI do Woodgrove também precisa personalizar o texto na interface de usuário do perfil do Gerenciador de Conexões para ajudar os usuários a entender o processo de conexão e instruí-los sobre o que fazer se houver problemas. O departamento de TI do Woodgrove criou perfis do Gerenciador de Conexões para diferentes usuários, como executivos, usuários regulares, e um para a equipe administrativa. Cada perfil teve prioridades diferentes durante a configuração da conexão. Os administradores podem conectar-se remotamente, independentemente dos níveis de tráfego de rede.
Windows XP Professional com Service Pack 2. O Woodgrove National Bank deve atualizar todos os computadores com acesso remoto para o Windows XP Professional com SP2 ou posterior. O Windows XP Professional com SP2 oferece recursos de segurança aprimorados, como o Firewall do Windows, e melhor suporte para atualizações automáticas, aumentando assim a integridade da solução de acesso remoto. O Windows XP Home com SP2 oferece vantagens de segurança, mas não pode ingressar em um domínio e usar a Diretiva de Grupo. O Windows 2000 Professional com SP4 não possui os aprimoramentos de segurança do Windows XP Professional com SP2.
Obtenção de cartão inteligente e leitor de cartão inteligente. Embora o Woodgrove National Bank possua uma PKI bem desenvolvida em funcionamento, o banco não teria muita vantagem com a instalação do sistema operacional Windows for Smart Cards em cartões inteligentes vazios. Muitos fornecedores oferecem cartões inteligentes com o sistema operacional já instalado neles. A opção de adquirir cartões inteligentes e leitores de cartão inteligente a partir de um único fornecedor tem a vantagem de oferecer um único ponto de contato para quaisquer problemas técnicos.
Leitores de cartão inteligente por USB ou placa de PC. A criação de uma linha de base padrão para implantação minimiza o custo da instalação de uma solução de cartão inteligente. O Woodgrove National Bank implementou uma diretiva corporativa exigindo que todos os computadores portáteis possuíssem leitores de cartão inteligente internos. O Woodgrove National Bank também estabeleceu um padrão comum para o fornecimento de leitores de cartão inteligente por USB. O banco fornece leitores de cartões por USB aos funcionários que usam seus computadores pessoais para trabalhar de casa. Para garantir a continuidade, o Woodgrove firmou um contrato com o fornecedor de leitores de cartão para fornecer o mesmo modelo de leitores de cartão por dois anos.
Relações de confiança. A implantação de cartão inteligente do Woodgrove National Bank usou as relações de confiança atuais entre as florestas individuais e quaisquer relações de confiança unidirecionais, tais como aquelas entre as florestas menores da equipe de desenvolvimento e a floresta corporativa principal. Esse esquema não exigiu nenhuma alteração nos modelos de certificados.
PKI (Infra-estrutura de chave pública) do Windows Server 2003. Os Serviços de Certificados do Windows Server 2003 permitem atribuir permissões a elementos de um modelo padrão de certificado de cartão inteligente e personalizar modelos. A melhor flexibilidade de permissões de modelo é um elemento importante que permite ao departamento de TI do Woodgrove IT delegar o modelo de emissão de certificado definido de maneira segura. O departamento de TI do Woodgrove usa os recursos de PKI avançados do Windows Server 2003 para definir regras para a renovação automática de certificados. O departamento de TI usa os recursos de permissão de modelo de certificado para exigir que os oficiais de segurança do Woodgrove National Bank criem manualmente todas as novas inscrições de certificado de cartão inteligente. Entretanto, o usuário pode renovar automaticamente todos os certificados de cartão inteligente atuais.
O Woodgrove National Bank já tinha uma PKI do Windows 2000 Server PKI em funcionamento quando a organização decidiu implementar cartões inteligentes. No piloto inicial, o departamento de TI do Woodgrove National Bank decidiu usar sua infra-estrutura de segurança atual baseada no Windows 2000 para criar e gerenciar certificados para cartões inteligentes, em vez de serviços de terceiros. Todavia, a solução de segurança com cartões inteligentes do Woodgrove exige certificados com validade de um ano. Esse requisito acarretaria custos altos de suporte em decorrência da renovação manual de dezenas de milhares de certificados de usuários todos os anos. Devido a esse aumento na carga de trabalho administrativo, o departamento de TI do Woodgrove National Bank decidiu atualizar sua PKI para o Windows Server 2003.
Se o Woodgrove National Bank tivesse usado a PKI do Windows 2000 Server para renovação automática de certificados, suas opções de renovação de certificados ficariam limitadas à renovação manual ou à configuração de renovação automática para todos os certificados. A renovação automática de todos os certificados eliminaria qualquer flexibilidade nas opções de renovação.
Projetando a solução
Esta seção destaca as opções de design que o departamento de TI do Woodgrove National Bank criou para usar cartões inteligentes para ajudar a proteger o acesso remoto. Esta seção abrange o conceito e os pré-requisitos da solução, bem como descreve a arquitetura da solução.
Conceito da solução
A solução usa uma combinação de configurações da Diretiva de Grupo, diretivas de acesso remoto, perfis do Gerenciador de Conexões, certificados de usuário X.509 v3 instalados em cartões inteligentes e leitores de cartão inteligente. A descrição do conceito é que um usuário de acesso remoto ativa um perfil personalizado do Gerenciador de Conexões, o qual solicita a inserção de um cartão inteligente no leitor de cartão inteligente conectado. O sistema operacional solicita então o PIN ao usuário. Se o PIN estiver correto, o leitor extrai o certificado do cartão inteligente e as informações de conta. Em seguida, o Gerenciador de Conexões estabelece uma conexão com o servidor de acesso remoto corporativo e apresenta as credenciais do cartão inteligente. O Active Directory autentica essas credenciais e o servidor de acesso remoto concede ao usuário o acesso à rede corporativa.
Pré-requisitos da solução
Os pré-requisitos para o uso de cartões inteligentes para proteger contas de acesso remoto são semelhantes aos da solução de cartão inteligente para proteger contas de administrador. Você precisa:
Consultar usuários e grupos
Recrutar a equipe do projeto
Definir as expectativas dos usuários
Atualizar hardware e software
Distribuir e ativar cartões inteligentes com segurança
Consultar usuários e grupos
Dentro do ciclo planejado, você deve avaliar quaisquer soluções de acesso remoto atuais e consultar as pessoas que a usam. O Woodgrove National Bank opera em vários países/regiões e todos possuem usuários de acesso remoto. A equipe inicial analisou os comentários dos usuários de acesso remoto atuais e das equipes de suporte, a fim de identificar e engajar usuários, grupos e pessoal de suporte potenciais para fazer parte dos testes.
Recrutar a equipe do projeto
Verifique se possui o pessoal certo e as qualificações adequadas à implementação de um projeto desta natureza. A equipe de projeto provavelmente precisará de informações dos seguintes cargos representativos:
Gerente de programa
Arquiteto de sistemas de informações
Analista ou integrador de sistemas
Engenheiros de sistemas
Gerente de lançamento de produtos
Gerente de teste de produtos
Gerente de suporte ou assistência técnica
Especialistas de suporte ao usuário
Oficiais de segurança
Para obter mais informações sobre cargos representativos e associações com funções MOF, consulte Informes oficiais suplementares do Microsoft Solutions Framework – Taxonomia ocupacional de TI (em inglês) em https://www.microsoft.com/downloads/details.aspx?FamilyID=839058c3-d998-4700-b958-3bedfee2c053
Caso você não possua certas qualificações disponíveis dentro da empresa, recrute funcionários adicionais. Como o projeto geralmente não exige o envolvimento de todos os funcionários em todos os estágios, você deve estipular a disponibilidade individual necessária durante todo o projeto.
Definir as expectativas dos usuários
O ponto principal com relação às expectativas dos usuários de cartão inteligente e acesso remoto é o maior tempo de logon. Os usuários devem esperar um aumento de alguns segundos no tempo de logon para autenticação com cartão inteligente.
Atualizar hardware e software
A solução de uso de cartão inteligente para acesso remoto requer os sistemas operacionais e service packs Microsoft mais recentes. Esse requisito permite que a solução de acesso remoto usufrua dos últimos avanços e recursos de segurança do Windows XP Professional com SP2 e do Windows Server 2003 com SP1, como o Firewall do Windows, DEP (Prevenção de Execução de Dados), Assistente de Configuração de Segurança e Quarentena de VPN.
As atualizações de software podem requerer atualizações para hardware de cliente ou servidor. Um programa piloto pode estabelecer se o equipamento mais antigo poderá executar os sistemas operacionais mais recentes. Para verificar se o equipamento está certificado para o Windows XP ou Windows Server 2003, consulte o tópico Produtos desenvolvidos para o Microsoft Windows – Windows Catalog e HCL (em inglês) em www.microsoft.com/whdc/hcl/default.mspx?gssnb=1.
Distribuir e ativar cartões inteligentes com segurança
A implementação de cartões inteligentes para acesso remoto requer um método seguro para distribuição e ativação de cartões inteligentes. Normalmente, esse processo de distribuição exigiria o comparecimento do usuário em seu escritório administrativo local para que o agente de inscrição pudesse verificar sua identidade, emitir o cartão inteligente e realizar o procedimento de ativação. A seção Modelo de emissão delegada mais adiante neste capítulo descreve como o Woodgrove National Bank distribuiu e ativou cartões inteligentes para os usuários remotos.
Arquitetura da solução
A implementação da solução de cartão inteligente do Woodgrove National Bank para acesso remoto requer os seguintes componentes:
Active Directory
O IAS instalado em um servidor Windows Server 2003
Windows Server 2003 com SP1 com roteamento e acesso remoto
Diretiva de grupo
Computadores clientes executando o Windows XP Professional com SP2 ou posterior
Leitores de cartão inteligente
Cartões inteligentes com no mínimo 32 KB de memória
Perfis do Gerenciador de Conexões criados com CMAK
Scripts do cliente para o perfil do Gerenciador de Conexões
A princípio, o departamento de TI do Woodgrove pensou em oferecer suporte para todas as versões do Windows atualmente implantadas. Todavia, percebendo o aumento cada vez maior de ameaças a computadores conectados à Internet, eles decidiram oferecer suporte apenas para o Windows XP Professional com SP2 ou posterior.
As contas de usuários e as participações em grupo armazenadas no Active Directory regulam a conectividade e o acesso remotos aos recursos corporativos do Woodgrove National Bank. O departamento de TI do Woodgrove também usa GPOs para a configuração de computadores clientes para cumprir com as diretivas de segurança da rede corporativa.
Como funciona a solução
Esta seção oferece detalhes técnicos da solução do Woodgrove National Bank. Ela explica como o Active Directory autentica o usuário e analisa o caminho de autenticação para as credenciais do cartão inteligente.
O procedimento a seguir permite acesso remoto com cartões inteligentes:
Um usuário remoto faz logon em um computador que tem acesso à Internet e tem um leitor de cartão inteligente conectado. O usuário inicia o perfil personalizado do Gerenciador de Conexões clicando duas vezes na conexão chamada Gerenciador de Conexões para cartões inteligentes do departamento de TI do Woodgrove.
O perfil do Gerenciador de Conexões procura por um cartão inteligente no leitor de cartão. Uma caixa de diálogo é exibida para solicitar que o usuário digite o PIN. O Gerenciador de Conexões usa o PIN para realizar operações importantes no cartão como um serviço do sistema, uma vez que ele não pode solicitar e exibir a interface do usuário na área de trabalho. Se o usuário inserir o PIN correto, o cartão é desbloqueado, permitindo a continuação do processo de logon para acesso remoto.
A LSA (Autoridade de segurança local) é o componente do sistema operacional confiável que realiza todas as autenticações. SChannel, o código que implementa SSL, é executado parcialmente na LSA e inicia a seqüência de mapeamento.
O perfil do Gerenciador de Conexões inicia uma conexão aos servidores IAS no Woodgrove National Bank usando uma conexão dial-up ou VPN. O servidor IAS efetua uma verificação de revogação no certificado de cliente. Com o mapeamento do certificado para o nome UPN, a CA de emissão deve estar no armazenamento NTAUTH. O mapeamento explícito também pode ser definido na conta de usuário do Active Directory.
A LSA apresenta as informações de usuário ao servidor IAS. O código SChannel que é executado no servidor IAS envia uma mensagem ao código SChannel que reside no controlador de domínio e passa as informações de UPN do certificado.
O código SChannel que é executado no servidor IAS valida o certificado e, em seguida, procura por usuários no Active Directory no controlador de domínio. O controlador de domínio gera um certificado de acesso privilegiado (PAC) que contém o identificador de 128 bits do usuário e a participação em grupo do usuário. As comunicações futuras a partir desse ponto usam o protocolo Kerberos v5.
O controlador de domínio transmite uma chave de sessão gerada aleatoriamente incluindo a permissão de concessão de permissão (TGT) Kerberos para o computador cliente. O recebimento dessa chave autentica o servidor de acesso remoto no cliente. Ambos os computadores estão agora autenticados mutuamente.
O computador cliente descriptografa a chave de sessão de logon e apresenta a TGT Kerberos v5 ao serviço de concessão de permissões. Depois de concluído esse processo, todas as outras comunicações via protocolo Kerberos v5 usam criptografia simétrica.
Se o usuário tiver se conectado através de uma conexão dial-up, aparecerá uma solicitação para inserir nome de usuário e senha. O usuário insere as credenciais e pode então acessar todos os recursos de rede no Woodgrove Bank. Os usuários conectados através de conexão VPN não precisam concluir esse passo.
A figura a seguir ilustra os passos para usar um cartão inteligente para autenticação de acesso remoto.
.gif "Dd459090.pgfg0401(pt-br,TechNet.10).gif")
Figura 4.1 Processo de logon e autenticação de acesso remoto usando um cartão inteligente
Os ciclos adicionais de processador necessários para processar as informações de cartão inteligente adicionam aproximadamente 20 a 25 segundos ao processo de autenticação inicial. Após a conclusão da autenticação, o desempenho não é afetado.
Considerações adicionais do projeto
A próxima seção analisa em detalhes as considerações adicionais para a implantação de cartão inteligente e inclui o mecanismo de distribuição de cartão inteligente usado pelo Woodgrove National Bank.
Modelo de emissão delegada
O departamento de TI do Woodgrove National Bank desenvolveu um modelo de emissão delegada para cartões inteligentes. Esse modelo oferece suporte responsivo que ajuda a garantir o mais alto nível de segurança para a distribuição de cartões inteligentes aos funcionários em todo o mundo.
O departamento de TI do Woodgrove National Bank usou um modelo de emissão delegada para implantar cartões inteligentes fora do centro de TI principal do Woodgrove National Bank em Londres. O departamento de TI do Woodgrove National Bank enviou técnicos para os escritórios em todo o mundo para treinar os DIOs (Delegated Issuance Officers - Oficiais de emissão delegada). Os técnicos deram treinamento aos DIOs sobre como distribuir cartões inteligentes e usar as ferramentas de cartões inteligentes. Depois da visita inicial, os DIOs participaram de teleconferências semanais com a equipe de TI central do Woodgrove National Bank para discutir problemas emergentes.
A figura a seguir ilustra os passos que constituem o modelo de emissão delegada para aprovação da solicitação de certificado.
.gif "Dd459090.pgfg0402(pt-br,TechNet.10).gif")
Figura 4.2 Processo de delegação de cartão inteligente usado para emitir cartões inteligentes para acesso remoto
Os passos realizados de acordo com esse fluxograma são:
O usuário solicita um cartão inteligente do DIO.
O DIO valida a identidade do usuário perante uma forma de identificação aceitável, como um passaporte ou uma carteira de motorista, e verifica a identidade do usuário com o chefe do departamento. Depois que o DIO confirma a identidade do usuário, ele envia uma solicitação de certificado ao oficial de segurança em Londres.
Para validar a solicitação, o oficial de segurança verifica se já existe algum certificado emitido no nome daquele usuário. O oficial de segurança também determina se o usuário já fez outras solicitações de cartão inteligente. Se não houver objeção à emissão do cartão inteligente, o oficial de segurança concede aprovação. Se o oficial de segurança descobrir um problema, o processo deve ser submetido a uma auditoria, como descrito no passo cinco.
O DIO recebe a aprovação e usa a conta do agente de inscrição para emitir o certificado. Esse certificado é anexado a um novo cartão inteligente, o qual o DIO emite ao usuário pessoalmente. O processo de emissão delegada é então concluído.
Se houver dúvidas sobre a validade da solicitação, o oficial de segurança inicia uma auditoria da solicitação para determinar se a aprovação vai ser concedida àquele usuário. Depois de concluída a auditoria, o usuário deve fazer uma nova solicitação.
O processo de emissão delegada é concluído.
O Woodgrove National Bank só pôde implementar o modelo de emissão delegada depois que o departamento de TI do Woodgrove atualizou as autoridades de certificados corporativos com o Windows Server 2003. A PKI do Windows Server 2003 permite aplicar permissões detalhadas às seções dos modelos de certificados, o que capacita a função dos DIOs dentro do modelo de emissão delegada. Dentro do modelo de emissão, o Woodgrove desenvolveu procedimentos para reemissão segura de cartões inteligentes perdidos ou roubados.
Configurar estatísticas RADIUS
A manutenção de logs não é um requisito para a implementação de uma solução de acesso remoto, mas é altamente recomendada pela Microsoft. Se você usar IAS, terá a vantagem do suporte interno ao provedor de estatísticas RADIUS, que registra as solicitações e sessões de conexão de cliente. O Woodgrove National Bank deseja monitorar quais são os usuários que fazem logon, quando o fazem e por quanto tempo permanecem conectados à rede corporativa. O RADIUS permite ao Woodgrove analisar as tendências de conexão, a fim de rever e melhorar o serviço.
Cada servidor IAS coleta dados de sessão de usuário, que ele armazena no Microsoft SQL Server™ Desktop Engine (Windows) (WMSDE) no Windows Server 2003 ou no SQL Server 2000 Desktop Engine (MSDE 2000) no Windows 2000 Server e anterior. O IAS transfere as informações de estatística do WMSDE ou MSDE para um banco de dados SQL Server 2000 central praticamente em tempo real. Esse esquema garante uso eficaz em termos de custo do licenciamento do SQL Server e não prejudica o desempenho do servidor.
O Woodgrove National Bank implantou servidores de coleta de dados baseados no SQL Server para coletar dados de sessão de acesso remoto IAS.
Implantar pilotos
O departamento de TI do Woodgrove National Bank testa qualquer solução em ambiente de laboratório e em mais de um piloto antes da implantação na rede de produção. O departamento de TI do Woodgrove desenvolveu dois pilotos para a implantação de cartão inteligente para acesso remoto: um envolveu um grupo pequeno, porém experiente, de usuários e o outro envolveu um grupo mais diversificado de usuários em vários países/regiões com grande experiência em acesso remoto.
O piloto com os usuários mais experientes permitiu ao Woodgrove National Bank identificar os maiores problemas com a implantação de cartão inteligente. Os usuários mais experientes foram capazes de superar pequenas interrupções e caixas de diálogo inesperadas. Depois que o departamento de TI do Woodgrove concluiu o primeiro piloto, eles sabiam que a solução de cartão inteligente funcionaria, mas que era necessário algum ajuste.
O segundo piloto, com o grupo mais diversificado de usuários, permitiu que o departamento de TI do Woodgrove recebesse chamadas de suporte do tipo esperado em uma implantação completa. Esse piloto permitiu que o suporte técnico resolvesse problemas técnicos e mostrou outros possíveis desenvolvimentos necessários antes da distribuição de cartões inteligentes a todos os usuários remotos.
Garantindo alta disponibilidade
O cenário da solução deve ser altamente confiável porque a manutenção da produtividade é um requisito importante da solução de acesso remoto. O Woodgrove National Bank deve considerar as condições para alta disponibilidade. São elas:
Servidores de acesso remoto com equilíbrio de carga
Servidores IAS com equilíbrio de carga
Caminhos de rede redundantes
Observação: O Woodgrove Bank localizou geograficamente os pontos de entrada de roteamento e acesso remoto/IAS devido ao layout físico da rede.
Garantindo largura de banda adequada à rede
Os arquitetos de sistemas devem considerar os caminhos de rede atuais, os tempos de conexão esperados e o tipo e tamanho do tráfego de acesso remoto esperados. A banda larga adicional de que os usuários de acesso remoto precisam não deve ser subestimada. As implantações pilotos devem ajudar a analisar os modelos de tráfego de acesso remoto e o efeito que esse tráfego pode causar na infra-estrutura de rede atual. É importante que os testes incluam usuários não técnicos e modelos de utilização típicos para simular os problemas que podem surgir na implantação completa. As chaves de hardware que incorporam o controle de largura de banda e VLANS (Redes Locais Virtuais) podem reduzir os efeitos do tráfego de acesso remoto sobre outros usuários.
O Woodgrove National Bank usa vários provedores de serviço de Internet para atingir uma boa conectividade com a Internet. Uma boa parte da largura de banda atual oferece acesso à Internet para pesquisa na Web e email. O departamento de TI do Woodgrove deve reavaliar os esquemas atuais para liberar tráfego adicional resultante de conexões de acesso remoto.
Exceções
Os arquitetos de sistemas no Woodgrove National Bank sabem que qualquer solução deve lidar com situações nas quais as necessidades comerciais exigem isenção temporária dos requisitos de segurança usuais para um dispositivo ou mais dispositivos. Por exemplo, o acesso remoto para executivos durante uma reunião importante pode ficar isento do requisito de autenticação com cartão inteligente. Se a solução de cartão inteligente não puder oferecer isenções para dispositivos individuais, o departamento de TI terá que desativar todos os requisitos de acesso remoto seguro simplesmente para conceder uma única isenção. Sendo assim, a solução de cartão inteligente para acesso remoto deve dar suportar a exceções.
Observação: O grupo de segurança do departamento de TI do Woodgrove deve ser a única autoridade capaz de determinar se uma necessidade empresarial justifica o risco de segurança.
Para lidar com exceções, o departamento de TI do Woodgrove criou um novo grupo de segurança chamado RemoteSmartCardUsersTempException para exceções temporárias à exigência de cartão inteligente para acesso remoto. Depois eles configuraram as diretivas de acesso remoto para o servidor de acesso remoto de entrada como descrito na tabela a seguir.
Tabela 4.1: Condições da diretiva de acesso remoto do Woodgrove National Bank
Requisito |
Condições da diretiva |
Tipo de autenticação |
|---|---|---|
Requer autenticação com cartão inteligente para membros do grupo de usuários de acesso remoto |
Correspondência entre grupos do Windows e "WOODGROVE\RemoteSmartCardUsers" |
EAP - Somente cartão inteligente ou outro certificado. |
Não requer autenticação com cartão inteligente de membros do grupo de exclusões temporárias |
Correspondência entre grupos do Windows e "WOODGROVE\RemoteSmartCardUsersTempException" |
MSCHAP v2 |
Esse esquema impõe a exigência de cartão inteligente aos membros do grupo RemoteSmartCardUsers mas não aos membros do grupo RemoteSmartCardUsersTempException. Para obter mais informações sobre como exigir autenticação com cartão inteligente aos usuários remotos, consulte o tópico Configurar acesso remoto de cartão inteligente em https://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/863638a6-f9e0-48d7-9db5-0b54af3cf135.mspx.
Aplicar práticas recomendadas
O departamento de TI do Woodgrove National Bank estabeleceu a seguinte lista das práticas mais recomendadas:
Envolva o suporte técnico. Um suporte técnico bem preparado deve fazer parte de todos os projetos de cartão inteligente. Após a implantação, o envolvimento do suporte técnico passa a ter uma função de manutenção. É essencial manter os funcionários do suporte técnico atualizados sobre as mudanças no sistema interno e quaisquer desenvolvimentos tecnológicos que afetem o uso.
Forneça gerenciamento de PIN. Como o objetivo principal para utilização de cartões inteligentes é melhorar a segurança da rede, a segurança dos dados armazenados no cartão inteligente é vital. Os PINs esquecidos são um desafio tanto durante como depois da implantação de cartão inteligente. Você deve perguntar ao seu fornecedor de cartões inteligentes sobre o fornecimento de ferramentas de gerenciamento de PIN e implementar um processo de redefinição de PIN para os usuários que não podem redefinir seus PINs em um local da empresa (por exemplo, quando viajam).
Implemente medidas contra violação. Os cartões inteligentes requerem proteção contra violação, para que o cartão seja bloqueado caso um usuário digite um PIN incorreto cinco vezes consecutivas.
Mantenha uma equipe de pós-implantação. Uma equipe de pós-implantação pode ser bem menor que a equipe inicial de implantação, mas é necessário monitorar a integridade do sistema regularmente, testar e coordenar quaisquer atualizações à infra-estrutura de cartão inteligente.
Monitorando e gerenciando
A solução que usa cartões inteligentes para proteger o acesso remoto deve incluir a capacidade de monitorar a integridade operacional da solução. Este processo deve oferecer a capacidade de monitorar a rede inteira, um único item ou listas de itens em tempo real. As ferramentas de monitoramento devem mostrar as informações necessárias a uma organização para que ela possa oferecer suporte à operação. Se a solução não cumprir esse requisito, os funcionários de segurança não poderão determinar se a solução mantém conexões de acesso remoto seguras com eficácia.
Identifique considerações operacionais
O departamento de TI do Woodgrove identificou as seguintes considerações operacionais durante a implantação da solução:
Testar a autenticação para aplicativos internos. O cartão inteligente deve afetar somente o logon inicial. O programa piloto deve testar e verificar a autenticação bem-sucedida para aplicativos internos.
Solucionar problemas de clientes remotos. Para que os problemas de clientes sejam solucionados com êxito, pode ser necessária uma cooperação próxima entre várias equipes espalhadas em diferentes fusos horários. Testes rigorosos e uma implantação piloto apropriada ajudam a reduzir chamadas ao suporte técnico
Compreender cenários de acesso remoto e ameaças organizacionais. Você precisa entender os cenários de acesso remoto da sua organização, as ameaças de segurança e o equilíbrio entre eles. Você deve priorizar os itens que precisam de mais proteção, e determinar o equilíbrio apropriado entre custo e risco são decisões estratégicas que o gerenciamento sênior deve tomar.
Prever desafios técnicos. Você deve prever desafios técnicos, como rotinas de instalação e distribuição de ferramentas de gerenciamento de cartões inteligentes. Talvez você precise integrar a solução de cartão inteligente às suas ferramentas de gerenciamento empresarial existentes.
Monitorar e gerenciar problemas de desempenho. Você deve monitorar e gerenciar problemas de desempenho e definir as expectativas dos usuários antes da implantação. Por exemplo, os usuários remotos que fazem logon pela primeira vez podem notar um tempo de logon maior se selecionarem a caixa de seleção Fazer logon usando uma conexão dial-up na caixa de diálogo Fazer logon no Windows. É importante informar os usuários remotos sobre esse atraso.
Manter-se atualizado. Se você planeja atualizar-se para a tecnologia mais recente, faça isso logo no início do processo de implantação do projeto. Esta estratégia oferece uma plataforma de cliente e servidor de linha de base e elimina muitas variáveis que você encontraria durante a implantação. A estabilidade do serviço também deve aumentar, e os custos de suporte ao usuário devem diminuir.
Implementar fases do projeto. Você deve planejar implantar o projeto em fases e alocar um intervalo de tempo adequado entre elas, para que o usuário possa assimilá-la e para que haja uma estabilização do sistema e do processo. As fases que se sobrepõem podem afetar seriamente o serviço, bem como impedir a identificação de problemas de serviço.
Considerar os bens pessoais. Lembre-se de que os computadores domésticos dos funcionários são suas propriedades pessoais e não são gerenciados pelo departamento de TI da empresa. Se um funcionário não quiser ou não conseguir instalar o hardware e software para suportar acesso remoto seguro com cartão inteligente, existem outras opções disponíveis. Por exemplo, o Microsoft Outlook® Web Access oferece aos funcionários acesso seguro às suas caixas de entrada no Microsoft Exchange Server.
Gerenciar alterações à solução. Você deve gerenciar quaisquer alterações e aprimoramentos feitos na solução por meio de processos semelhantes aos necessários na implantação inicial.
Otimize a solução. Todos os aspectos da solução de cartão inteligente necessitam de revisão e otimização periódicas. Regularmente, o departamento de TI do Woodgrove precisa rever os processos de inscrição e a necessidade de exceções de conta com o objetivo de melhorar a segurança e a integridade.
Como estender a solução
Os cartões inteligentes oferecem um grande potencial para o desenvolvimento de aplicativos. Por exemplo, os programadores podem adaptar a plataforma aberta e extensível de cartão inteligente e oferecer memória para outras utilizações, como um sistema de pagamento sem dinheiro para a lanchonete.
Embora o uso de cartões inteligentes para acesso remoto seguro reduza ataques de usuários não autorizados, a solução não garante que os computadores com acesso remoto cumprem com as diretivas de segurança de rede. O Network Access Quarantine Control, um recurso do Windows Server 2003 com SP1, pode confirmar se os computadores remotos estão executando as atualizações de antivírus e de segurança mais recentes. O controle de quarentena pode realizar outras verificações, por exemplo, confirmar se o Firewall do Windows no Windows XP com SP2 está habilitado. Para obter mais informações sobre controle de quarentena, consulte o Guia de Planejamento de Implementação dos Serviços de Quarentena com VPN da Microsoft em https://go.microsoft.com/fwlink/?LinkId=41307.
Resumo
A implementação de cartões inteligentes para autenticar conexões de acesso remoto oferece maior segurança do que uma simples combinação de nome de usuário e senha. Os cartões inteligentes implementam a autenticação de dois fatores através de uma combinação de cartão inteligente e PIN. A autenticação de dois fatores é significativamente mais difícil de violar, e o PIN é mais fácil de ser lembrado por um usuário do que uma senha segura.
O fornecimento de autenticação com cartão inteligente aos usuários de acesso remoto é um método confiável e eficaz em termos de custo que aumenta a segurança da rede. Este guia apresentou os passos necessários para o planejamento e a implementação desta solução.
Neste artigo
Download
Obtenha o Guia de Planejamento de Acesso Seguro Usando Cartões Inteligentes
Notificações de atualizações
Inscreva-se para obter informações sobre atualizações e novos lançamentos
Comentários