Buone pratiche per proteggere un certificato macchina dall'estrazione

3

Considera il seguente scenario:

  • Stai fornendo l'accesso VPN per un numero di computer che eseguono Windows 10.
  • Le macchine sono configurate e temprate in base agli standard aziendali.
  • Ci si basa su certificati macchina per l'autenticazione al gateway VPN.
  • Si desidera impedire agli utenti (o qualcuno che impersona un utente legittimo) di estrarre il certificato (e la chiave privata) dalle proprie macchine e trasferirli su un'altra macchina.
  • Alcuni dei tuoi utenti devono avere un livello di permessi sufficiente per estrarre dalla macchina una coppia di certificati / chiavi di file flat.

Quali sono le buone pratiche per impedire l'estrazione delle credenziali del computer? Approcci che vengono in mente:

  • Utilizzare il TPM per l'archiviazione delle chiavi. Domande qui: il supporto di Windows utilizza il TPM come keystore? Quanto sarebbe necessario per trasferire l'hardware TPM stesso su un altro computer?
  • Utilizza un token USB per l'archiviazione delle chiavi. Domanda qui i token sono progettati per essere collegabili; esiste un modo efficace per impedire che venga utilizzato su un'altra macchina?
posta user149408 13.08.2018 - 10:47
fonte

1 risposta

0

You want to prevent users (or someone impersonating a legitimate user) from extracting the certificate (and private key) from their machines

Dovresti usare una smart card

La chiave privata viene generata dalla smart card e non può mai lasciare la smart card (non esiste alcuna API per "estrarla"). La crittografia, la decrittografia e la firma vengono eseguite dal chip sulla smart card

tokens are designed to be pluggable; is there an effective way of preventing it from being used on another machine?

Se i desktop della vecchia scuola sono un'opzione, devi semplicemente bloccare il computer in un caso

Some of your users need to have a level of permissions sufficient to extract a flat-file certificate/key pair from the machine

Perché?

    
risposta data 13.08.2018 - 19:28
fonte

Leggi altre domande sui tag