Heute erfahren Sie, wie Sie schnell und einfach die Zwei-Faktor-Authentifizierung einrichten und wichtige Daten verschlüsseln können, auch wenn biometrische Daten verwendet werden können. Die Lösung ist für kleine Unternehmen oder nur für einen PC oder Laptop relevant. Es ist wichtig, dass wir dafür keine Public-Key-Infrastruktur (PKI), keinen Server mit der Rolle einer Zertifizierungsstelle (Certificate Services) oder sogar eine Domäne (Active Directory) benötigen. Alle Systemanforderungen werden auf das Windows-Betriebssystem und das Vorhandensein eines elektronischen Schlüssels durch den Benutzer reduziert. Im Falle einer biometrischen Authentifizierung auch auf einen Fingerabdruckleser, der beispielsweise bereits in Ihren Laptop integriert sein kann.
Zur Authentifizierung verwenden wir die Software unserer Entwicklung - JaCarta SecurLogon und den elektronischen Schlüssel JaCarta PKI als Authentifikator. Das Verschlüsselungstool ist reguläres Windows EFS. Der Zugriff auf verschlüsselte Dateien erfolgt ebenfalls über den JaCarta-PKI-Schlüssel (der gleiche, der für die Authentifizierung verwendet wird).
Denken Sie daran, dass JaCarta SecurLogon eine FSTEC-zertifizierte russische Hardware- und Softwarelösung von Aladdin R.D. ist, die einen einfachen und schnellen Übergang von der Einzelfaktorauthentifizierung basierend auf einem Benutzernamen / Passwort-Paar zur Zwei-Faktor-Authentifizierung im Betriebssystem mithilfe von USB-Token oder Smartcards ermöglicht. Das Wesentliche der Lösung ist recht einfach: JSL generiert ein komplexes Kennwort (~ 63 Zeichen) und schreibt es in den geschützten Speicher des elektronischen Schlüssels. In diesem Fall ist das Kennwort dem Benutzer möglicherweise nicht selbst bekannt, der Benutzer kennt nur den PIN-Code. Wenn Sie während der Authentifizierung den PIN-Code eingeben, wird das Gerät entsperrt und das Kennwort zur Authentifizierung an das System übertragen. Optional können Sie die Eingabe eines PIN-Codes durch Scannen des Fingerabdrucks eines Benutzers ersetzen und eine Kombination aus PIN + Fingerabdruck verwenden.
Sowohl EFS als auch JSL können im Standalone-Modus arbeiten, ohne dass etwas anderes als das Betriebssystem selbst erforderlich ist. In allen Microsoft-Betriebssystemen der NT-Familie, beginnend mit Windows 2000 und neuer (mit Ausnahme der Heimversionen), ist eine Technologie zum Verschlüsseln von Daten-EFS (Encrypting File System) integriert. Die EFS-Verschlüsselung basiert auf den Funktionen des NTFS-Dateisystems und der CryptoAPI-Architektur und dient zum schnellen Verschlüsseln von Dateien auf der Festplatte des Computers. Für die Verschlüsselung verwendet EFS die privaten und öffentlichen Schlüssel des Benutzers, die generiert werden, wenn der Benutzer die Verschlüsselungsfunktion zum ersten Mal verwendet. Diese Schlüssel bleiben unverändert, solange sein Konto existiert. Beim Verschlüsseln einer Datei generiert EFS zufällig eine eindeutige Nummer, den sogenannten 128-Bit-Dateiverschlüsselungsschlüssel (FEK), mit dem die Dateien verschlüsselt werden. FEK-Schlüssel werden mit einem Hauptschlüssel verschlüsselt, der mit dem Schlüssel der Benutzer des Systems verschlüsselt wird, die Zugriff auf die Datei haben. Der private Schlüssel des Benutzers ist durch den Kennwort-Hash desselben Benutzers geschützt. Mit EFS verschlüsselte Daten können nur mit demselben Windows-Konto mit demselben Kennwort entschlüsselt werden, unter dem die Verschlüsselung durchgeführt wurde. Wenn Sie das Verschlüsselungszertifikat und den privaten Schlüssel auf einem USB-Token oder einer Smartcard speichern, benötigen Sie für den Zugriff auf verschlüsselte Dateien auch dieses USB-Token oder diese Smartcard, die das Problem der Kompromittierung des Kennworts löst, da ein zusätzliches Gerät vorhanden ist in Form eines elektronischen Schlüssels.
Authentifizierung
Wie bereits erwähnt, benötigen Sie zum Konfigurieren weder AD noch eine Zertifizierungsstelle. Sie benötigen modernes Windows, eine JSL-Distribution und eine Lizenz. Das Setup ist einfach zu blamieren.
Sie müssen eine Lizenzdatei installieren.
Benutzerprofil hinzufügen.
Beginnen Sie mit der Zwei-Faktor-Authentifizierung.
Biometrische Authentifizierung
Es ist möglich, die biometrische Fingerabdruckauthentifizierung zu verwenden. Die Lösung verwendet die Match On Card-Technologie. Der Hash des Fingerabdrucks wird während der Erstinitialisierung auf die Karte geschrieben und anschließend mit dem Original überprüft. Es geht nirgendwo von der Karte weg, es wird in einigen Datenbanken nicht gespeichert. Zum Entsperren eines solchen Schlüssels wird ein Fingerabdruck oder eine Kombination aus PIN + Fingerabdruck, PIN oder Fingerabdruck verwendet.
Um es zu verwenden, müssen Sie nur die Karte mit den erforderlichen Parametern initialisieren und den Fingerabdruck des Benutzers notieren.
In Zukunft wird dasselbe Fenster geöffnet, bevor Sie das Betriebssystem aufrufen.
Im vorliegenden Beispiel wird die Karte mit der Möglichkeit der Authentifizierung per Fingerabdruck oder PIN-Code initialisiert, wie im Authentifizierungsfenster angegeben.
Nach Vorlage des Fingerabdrucks oder der PIN wird der Benutzer zum Betriebssystem weitergeleitet.
Datenverschlüsselung
Das Konfigurieren von EFS ist ebenfalls nicht sehr kompliziert. Es geht darum, ein Zertifikat einzurichten, es an einen elektronischen Schlüssel auszustellen und Verschlüsselungsverzeichnisse einzurichten. In der Regel ist keine Verschlüsselung des gesamten Laufwerks erforderlich. Wirklich wichtige Dateien, auf die von Dritten nicht empfohlen wird, befinden sich normalerweise in separaten Verzeichnissen und sind ohnehin nicht wie auf einer Festplatte verteilt.
Um ein Verschlüsselungszertifikat und einen privaten Schlüssel auszustellen, öffnen Sie ein Benutzerkonto und wählen Sie - Dateiverschlüsselungszertifikate verwalten. Erstellen Sie im sich öffnenden Assistenten ein selbstsigniertes Zertifikat auf der Smartcard. Da wir weiterhin eine Smartcard mit einem BIO-Applet verwenden, müssen Sie einen Fingerabdruck oder eine PIN angeben, um das Verschlüsselungszertifikat aufzuzeichnen.
Geben Sie im nächsten Schritt die Verzeichnisse an, die dem neuen Zertifikat zugeordnet werden sollen. Bei Bedarf können Sie alle logischen Laufwerke angeben.
Als nächstes fordert Sie das System erneut auf, eine PIN einzugeben oder einen Fingerabdruck vorzulegen. Das Zertifikat wird direkt an die Smartcard ausgestellt.
Als Nächstes müssen Sie bestimmte Verzeichnisse konfigurieren. In unserem Beispiel ist dies der Ordner "Dokumente" im Hamster des Benutzers. Öffnen Sie die Ordnereigenschaften und wählen Sie - Inhalte verschlüsseln, um Daten zu schützen.
Geben Sie als Nächstes an, dass die Einstellungen nur auf den aktuellen Ordner angewendet werden sollen, oder schließen Sie alle Unterverzeichnisse ein.
Das verschlüsselte Verzeichnis selbst und die darin enthaltenen Dateien werden in einer anderen Farbe hervorgehoben.
Der Zugriff auf Dateien erfolgt nur mit einem elektronischen Schlüssel, je nach Auswahl eines Fingerabdrucks oder PIN-Codes.
Damit ist die Einrichtung abgeschlossen.
Sie können beide Szenarien (Authentifizierung und Verschlüsselung) verwenden und sich auf eine Sache konzentrieren.