Configurazione di laptop Windows per richiedere una smartcard per lo sblocco

Naviga le tue risposte
5

Sto cercando i dettagli su come proteggere un laptop Windows usando le smart card.

Lo scenario è che abbiamo computer portatili in veicoli, che si collegano in remoto (tramite https) a un server di applicazioni su Internet. Le applicazioni di pianificazione e pagamento vengono eseguite sul laptop. L'operatore è spesso lontano dal veicolo durante l'esecuzione di lavori presso la sede del cliente.

Per utilizzare il sistema, l'operatore deve inserire la propria smart card nel lettore sul laptop. Questo dovrebbe sbloccare il portatile. Voglio che il server delle applicazioni abbia i certificati lato client che in qualche modo vengono memorizzati (o attivati) usando la smart card. Pertanto, se il veicolo / laptop viene rubato o compromesso, il ladro non può accedere al server senza la smart card.

Certamente possiamo disattivare l'account utente / revocare il certificato dopo aver scoperto che il laptop è stato rubato, ma è il momento in cui potrebbe essere possibile l'accesso non autorizzato.

In un mondo ideale, mi piacerebbe le smart card wireless (bluetooth?), quindi l'operatore non deve inserire alcuna scheda, ma solo essere vicino. (come questo: Lettore di smart card basato su Bluetooth Blackberry + RIM )

    
posta Matt 23.03.2013 - 02:32
fonte

1 risposta

8

Supponendo che i laptop funzionino sotto Windows, è necessario quanto segue:

  • a soluzione PKI per inizializzare e gestire le smart card; ciascuna smart card conterrà una chiave privata e il certificato associato;

  • per abilitare accesso con smart card così che gli utenti aprano una sessione sul laptop con la smart card, anziché una password (la stessa smart card richiede l'inserimento di un codice PIN);

  • per impostare un criterio locale che blocca il laptop quando la scheda viene rimossa (quello è facile);

  • per attivare l'autenticazione del client basata su certificato sul server HTTPS (vedere questo se il server è IIS).

Ho fatto tutto questo con quel tipo di carte ; sono disponibili in diversi fattori di forma, tra cui "Chiavi USB" (in realtà smart card lettori basati su USB con una smart card incorporata), che sono convenienti poiché tutti i laptop hanno porte USB. Il costo maggiore è il PKI; non proprio il software, soprattutto perché ci sono PKI gratuito (e vorrai dare un'occhiata a questo , a proposito). Il 95% di PKI è procedure , vale a dire persone che trascorrono del tempo a fare cose e controllano che lo abbiano fatto correttamente e controllano che altre persone abbiano fatto le cose per bene.

    
risposta data 23.03.2013 - 03:10
fonte

Leggi altre domande sui tag

Organizzazione come OWASP per la sicurezza della rete? I pacchetti SSH sono crittografati anche prima che vengano inviate nuove chiavi?