Skip to main content

TechNet - Experternas arena

TechNet Säkerhetsfrågespalt


Marcus Murray

Marcus Murray

Marcus Murray jobbar på TrueSec AB och är som Sveriges enda Security MVP en av landets främsta experter på IT-säkerhet.

Du som är IT-proffs kan skicka dina frågor om IT-säkerhet till adressen fraganu@microsoft.com och få din fråga besvarad av Marcus här i frågespalten.

Vi kan tyvärr inte garantera att alla frågor hinner besvaras.


Har du några tips angående implementering av smarta kort?

Hej Marcus. Vi har bestämt oss för att implementera smarta kort internt för våra anställda i syfte att bli av med lösenordsproblematiken en gång för alla. Vi är ett ganska stort företag med ett stort antal anställda och vi har 100-tals applikationer i drift. Har du några generella tips, saker vi borde tänka på?

Svar:

De smartkortslösningar som erbjuds idag blir allt kompetentare och tekniken är så pass mogen att det känns helt rätt att börja titta på den som ett alternativ för autentisering av användare. Det finns dock en hel del att tänka på och jag skall försöka ge er några tips.

Att införa Smarta kort i en IT-miljö innebär i praktiken att man inför tre olika huvudkomponenter.

1. Den underliggande PKI-infrastrukturen (Public Key Infrastructure)

Det här är certifikatservern/servrarna som skall hantera själva certifikaten. Detta är ur ett säkerhetsperspektiv de mest kritiska komponenterna och hela implementationens integritet hänger på att ingen obehörig på något sätt kan manipulera dessa.

När ni upprättar era certifikatservrar så skall ni alltid göra nyinstallationer av operativsystem och certifikattjänsten. Dessutom skall ni härda servrarna och se till att rätt personer har rätt åtkomst till servrarna, att backuphantering etc. sker på ett bra sätt. Som Certifikatservrar skulle jag rekommendera att ni tittar på Windows Server 2008 som har en uppdaterad och mycket kompetent certifikat-tjänst inbyggd. Väljer ni att vänta med att börja köra Windows Server 2008 så är det heller inget fel på certifikattjänsten i Windows Server 2003, även den är stabil och täcker de flestas behov.

Här är ett bra whitepaper och Best practices för att implementera PKI i en 2003-miljö (US):
"Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure"

Titta gärna också på detta Whitepaper (US):
"Active Directory Certificate Server Enhancements in Windows Server Code Name “Longhorn"


2. Den tekniska smarta kortlösningen

Här ingår att välja leverantör av smarta kort och läsare. Kanske har ni redan massor av laptops med inbyggda smarta kortläsare och då gäller det att välja ett smart kort och CSP (Cryptographic Service Provider) som stöder dessa i så fall. Ett tips är att titta på de nya smarta korten som kallas dotnet-kort. Tanken med dessa är dels att de är "plug & play" i Windows och dels att man kan lägga in egna/nya funktioner på korten. Klart intressant!

Andra saker man bör titta på här är alla de tillämpningar/applikationer/accesslösingar och operativsysteminloggningar som man har i miljön och planera/testa huruvida dom stöder PKI-baserad smartkortsinloggning. Det största säkerhetsmässiga värdet får man ju om man kan fasa ut lösenord helt ur miljön. Det brukar dock vara en utmaning om man har många applikationer och lösningar, särskilt om de är äldre.

Jag har själv suttit i projekt där man valt att införa smarta kort och senare kommit på att man har t.ex. ett äldre webb-baserat mailsystem som inte stödjer smartkortsinloggning. Det gäller att man tar reda på dessa i tid så att man kan besluta om man skall uppgradera/byta ut systemet, bygga/införskaffa någon lösning som kan lösa dessa eller i värsta fall låta användarna använda lösenord för just den tjänsten.

En anledning att jag tar upp just mailsystem som exempel är att vissa företag exempelvis har beslutat att man som anställd skall kunna gå in på vilket internetcafé som helst och logga in för att kolla mailen. Trots att jag som säkerhetskonsult direkt ogillar att man loggar in från datorer man själv inte kan kontrollera så kan detta vara ett legitimt behov i vissa fall. Problemet här är att man inte kan använda smarta kort eftersom dessa datorer varken har smartkortsläsare eller låter användaren installera drivrutiner etc. (förhoppningsvis i alla fall). Ett tips då kan vara att titta på kompletterande lösningar såsom engångslösenord, sms-tjänster etc. Det finns speciella dosor som kan generera engångslösenord baserade på nycklarna i smarta kortet samt en speciell applet.

Ni bör in i det sista undvika att använda klassiska lösenord för externa accesslösingar/mailsystem och liknande, särskilt om ni använder er av domäninloggning för dessa tjänster. En sak som många inte känner till är att trots att man implementerat smarta kort i en Microsoft-miljö idag så finns det vissa möjligheter att använda lösenord för åtkomst till resurser. Exempelvis för att komma åt en hemkatalog på nätverket. Om användarna fortfarande använder lösenord i vissa scenarion så är det risk att dessa exponeras mot obehöriga och missbrukas. Använder de inte lösenord så kan man ju enkelt låta systemet sätta ett väldigt långt slumpat lösenord på kontona och därmed avsevärt minska risken för missbruk av lösenord. Ett attackscenario skulle kunna vara att man kommer över en användares användarnamn och lösenord via en keylogger på en publik dator på ett internetcafé och sedan nyttjar kontot för obehörig access.


3. Hanteringen av smarta kort och den dagliga driften

Om en obehörig användare kan få någon på företaget att utfärda ett smart kort för någon annans konto, eller om man kommer över ett smart kort som sedan inte spärras osv. så kommer lösningen heller inte bjuda på den nivån av säkerhet som man önskat sig. Här gäller det att sätta processer, delegering och strukturer för hanteringen av hela PKI-infrastrukturen och de smarta korten. Dessutom finns det idag bra lösningar för att sköta hanteringen. Ett bra exempel är ILM (Identity Lifecycle Manager) (US).

Med hjälp av den produkten kan du få kontroll över hanteringen på ett bra sätt. Den kostar pengar, men den erbjuder funktioner såsom synkronisering mellan katalogtjänster för SSO (Single-sign-on) vilket medger att det smarta kortet används för åtkomst till äldre lösenordsbaserade system etc.

Sammanfattningsvis vill jag verkligen poängtera att jag är en fan av PKI och smarta kort. Det finns många tillämpningar som kan använda smarta kort för stark autentisering och ni kommer att kunna nyttja korten för Wireless/VPN/Domäninloggning/Kryptering av E-post/Säker Webb-baserad åtkomst/Nätverksbaserad kryptering/integritet via IPSEC etc. PKI och Smarta kort har idag många användningsområden och känns som en bra väg att gå.

Förhoppningsvis har ni glädje av dessa tankar och tips, jag bifogar även lite länkar nedan för mer läsning.

Hälsningar Marcus Murray, TrueSec AB

Information och resurser:


PKI/Smarta kort (US):

The Secure Access Using Smart Cards Planning Guide

Active Directory Certificate Services Longhorn Beta3 Certificate Templates Whitepaper

Active Directory Certificate Services Longhorn Beta3 Key Archival and Recovery Whitepaper

Strong Authentication Datasheet

Active Directory Certificate Server Enhancements in Windows Server Code Name “Longhorn”

How to Support Smart Card Logon for Remote Access VPN Connections

Windows Vista Smart Card Infrastructure


ILM (US)

Identity Lifecycle Management Datasheet

Identity Lifecycle Manager 180-Day Evaluation

Microsoft Management Agent for Certificate and Smart Card Management


De åsikter och idéer som uttrycks i texten är skribentens egna, och delas inte nödvändigtvis av Microsoft AB eller dess representanter.


Alla frågor och svar

Håll dig uppdaterad

Nyhetsbrev för it-proffs och tekniker från svenska TechNet.

Prenumerera nu!