سنخبرك اليوم بكيفية إعداد المصادقة الثنائية بسرعة وسهولة وتشفير البيانات المهمة ، حتى مع إمكانية استخدام القياسات الحيوية. سيكون الحل مناسبًا للشركات الصغيرة أو فقط لجهاز كمبيوتر شخصي أو كمبيوتر محمول. من المهم ألا نحتاج لهذا الغرض بنية تحتية للمفتاح العام (PKI) أو خادمًا له دور المرجع المصدق (خدمات الشهادات) أو حتى مجال (Active Directory). سيتم تخفيض جميع متطلبات النظام إلى نظام التشغيل Windows ووجود المستخدم لمفتاح إلكتروني ، وفي حالة المصادقة البيومترية ، أيضًا قارئ بصمات الأصابع ، والذي ، على سبيل المثال ، قد يكون مدمجًا بالفعل في الكمبيوتر المحمول.
للمصادقة ، سوف نستخدم برنامج تطويرنا - JaCarta SecurLogon والمفتاح الإلكتروني JaCarta PKI كمصدق. ستكون أداة التشفير نظام Windows EFS العادي ، وسيكون الوصول إلى الملفات المشفرة أيضًا من خلال مفتاح JaCarta PKI (نفس المفتاح المستخدم للمصادقة).
تذكر أن JaCarta SecurLogon هو عبارة عن حل الأجهزة والبرامج الروسية المعتمد من FSTEC بواسطة Aladdin R.D. والذي يسمح بالانتقال البسيط والسريع من المصادقة أحادية العامل بناءً على زوج من اسم المستخدم / كلمة المرور إلى المصادقة الثنائية في نظام التشغيل باستخدام رموز USB أو البطاقات الذكية. جوهر الحل بسيط للغاية - يولد JSL كلمة مرور معقدة (63 حرفًا تقريبًا) ويكتبها في الذاكرة المحمية للمفتاح الإلكتروني. في هذه الحالة ، قد لا تكون كلمة المرور معروفة للمستخدم نفسه ، فالمستخدم يعرف رمز PIN فقط. إدخال رمز PIN أثناء المصادقة ، يتم إلغاء قفل الجهاز ، ويتم نقل كلمة المرور إلى النظام للمصادقة. اختياريًا ، يمكنك استبدال إدخال رمز PIN عن طريق مسح بصمة إصبع المستخدم ، ويمكنك أيضًا استخدام مجموعة من PIN + بصمة الإصبع.
يمكن لـ EFS وكذلك JSL العمل في الوضع المستقل ، دون الحاجة إلى أي شيء آخر غير نظام التشغيل نفسه. في جميع أنظمة تشغيل Microsoft من عائلة NT ، بدءًا من نظام التشغيل Windows 2000 والإصدارات الأحدث (باستثناء الإصدارات المنزلية) ، توجد تقنية مدمجة لتشفير البيانات EFS (نظام تشفير الملفات). يعتمد تشفير EFS على إمكانات نظام الملفات NTFS وبنية CryptoAPI وهو مصمم لتشفير الملفات بسرعة على القرص الصلب للكمبيوتر. للتشفير ، يستخدم EFS المفاتيح الخاصة والعامة للمستخدم ، والتي يتم إنشاؤها عندما يستخدم المستخدم لأول مرة وظيفة التشفير. تظل هذه المفاتيح بدون تغيير طالما كان حسابه موجودًا. عند تشفير ملف ، يقوم EFS عشوائيًا بإنشاء رقم فريد ، يسمى مفتاح تشفير الملفات 128 بت (FEK) ، والذي يتم تشفير الملفات به. يتم تشفير مفاتيح FEK بمفتاح رئيسي مشفر بمفتاح مستخدمي النظام الذي يمكنه الوصول إلى الملف. المفتاح الخاص للمستخدم محمي بواسطة تجزئة كلمة المرور لهذا المستخدم نفسه. لا يمكن فك تشفير البيانات المشفرة باستخدام EFS إلا باستخدام نفس حساب Windows بنفس كلمة المرور التي تم إجراء التشفير بموجبها. وإذا قمت بتخزين شهادة التشفير والمفتاح الخاص على رمز USB أو البطاقة الذكية ، فلكي تتمكن من الوصول إلى الملفات المشفرة ، ستحتاج أيضًا إلى رمز USB أو البطاقة الذكية ، مما يحل مشكلة اختراق كلمة المرور ، نظرًا لأن جهازًا إضافيًا في في شكل مفتاح إلكتروني.
المصادقة
كما ذكرنا من قبل ، لا تحتاج إلى AD أو مرجع مصدق للتكوين ، فأنت بحاجة إلى أي Windows حديث ، وتوزيع JSL ، وترخيص. الإعداد بسيط للعار.
تحتاج إلى تثبيت ملف ترخيص.
إضافة ملف تعريف المستخدم.
وابدأ في استخدام المصادقة ذات العاملين.
المصادقة البيومترية
من الممكن استخدام مصادقة البصمة البيومترية. يستخدم الحل تقنية Match On Card. تتم كتابة تجزئة بصمة الإصبع على البطاقة أثناء التهيئة الأولية ويتم التحقق منها لاحقًا باستخدام النسخة الأصلية. لا تذهب إلى أي مكان من البطاقة ؛ لا يتم تخزينها في بعض قواعد البيانات. لفتح هذا المفتاح ، يتم استخدام بصمة الإصبع أو مجموعة من PIN + بصمة الإصبع أو PIN أو بصمة الإصبع.
لبدء استخدامه ، تحتاج فقط إلى تهيئة البطاقة بالمعلمات الضرورية ، وكتابة بصمة المستخدم.
في المستقبل ، ستظهر النافذة نفسها قبل الدخول إلى نظام التشغيل.
في المثال الحالي ، تتم تهيئة البطاقة مع إمكانية المصادقة باستخدام بصمة الإصبع أو رمز PIN ، وهو ما تبلغ عنه نافذة المصادقة.
بعد تقديم بصمة الإصبع أو رقم التعريف الشخصي ، سيتم نقل المستخدم إلى نظام التشغيل.
تشفير البيانات
كما أن تكوين EFS ليس معقدًا للغاية ، فهو يتعلق بإعداد الشهادة وإصدارها إلى مفتاح إلكتروني وإعداد أدلة التشفير. عادةً ، لا يلزم تشفير محرك الأقراص بالكامل. عادةً ما يتم وضع الملفات المهمة حقًا ، والتي لا ينصح بالوصول إليها من قبل أطراف ثالثة ، في أدلة منفصلة ، ولا يتم تشتيتها بأي شكل كما هو الحال على القرص.
لإصدار شهادة تشفير ومفتاح خاص ، افتح حساب مستخدم ، وحدد - إدارة شهادات تشفير الملفات. في المعالج الذي يفتح ، قم بإنشاء شهادة موقعة ذاتيًا على البطاقة الذكية. بينما نستمر في استخدام بطاقة ذكية مع برنامج BIO ، يجب عليك تقديم بصمة إصبع أو رقم تعريف شخصي لتسجيل شهادة التشفير.
في الخطوة التالية ، حدد الدلائل التي سيتم إقرانها بالشهادة الجديدة ، إذا لزم الأمر ، يمكنك تحديد جميع محركات الأقراص المنطقية.
بعد ذلك ، يطلب منك النظام مرة أخرى إدخال رقم التعريف الشخصي أو تقديم بصمة الإصبع ، سيتم إصدار الشهادة مباشرة إلى البطاقة الذكية.
بعد ذلك ، تحتاج إلى تكوين أدلة محددة. في مثالنا ، هذا هو مجلد المستندات في الهامستر المستخدم. افتح خصائص المجلد وحدد - تشفير المحتويات لحماية البيانات.
بعد ذلك ، حدد تطبيق الإعدادات فقط على المجلد الحالي أو تضمين كافة الأدلة الفرعية.
سيتم تمييز الدليل المشفر نفسه والملفات الموجودة به بلون مختلف.
يتم الوصول إلى الملفات فقط باستخدام مفتاح إلكتروني ، عند تقديم بصمة الإصبع أو رمز PIN ، اعتمادًا على ما يتم تحديده.
هذا يكمل الإعداد.
يمكنك استخدام كلا السيناريوهين (المصادقة والتشفير) ، يمكنك التركيز على شيء واحد.