今天,我们将告诉您如何快速,轻松地设置两因素身份验证并加密重要数据,甚至可以使用生物识别技术。 该解决方案将适用于小型公司,或者仅适用于个人计算机或笔记本电脑。 重要的是,我们不需要公钥基础结构(PKI),充当证书颁发机构角色的服务器(Certificate Services)甚至是域(Active Directory)。 所有系统要求都将减少到Windows操作系统和用户使用的电子钥匙,并且在进行生物特征认证的情况下,还将减少指纹读取器,例如,指纹读取器可能已经内置在笔记本电脑中。
对于身份验证,我们将使用我们开发的软件-JaCarta SecurLogon和电子密钥JaCarta PKI作为身份验证器。 加密工具将是常规的Windows EFS,也将通过JaCarta PKI密钥(用于身份验证的密钥)访问加密文件。
回想一下,JaCarta SecurLogon是经过俄罗斯FSTEC认证的经过Aladdin R.D.认证的软件和硬件解决方案,它允许在操作系统中使用USB令牌或智能卡从基于用户名/密码对的单因素身份验证简单快速地过渡到两因素身份验证。 解决方案的本质非常简单-JSL生成一个复杂的密码(〜63个字符),并将其写入电子钥匙的受保护存储器中。 在这种情况下,用户自己可能不知道密码,而用户仅知道PIN码。 身份验证期间输入PIN码,设备被解锁,密码被传输到系统进行身份验证。 您也可以选择通过扫描用户的指纹来代替输入PIN码,也可以使用PIN +指纹的组合。
EFS和JSL都可以独立运行,而无需操作系统本身。 在NT家族的所有Microsoft操作系统中,从Windows 2000和更高版本(家用版本除外),都有一种用于加密数据EFS(加密文件系统)的内置技术。 EFS加密基于NTFS文件系统和CryptoAPI架构的功能,旨在快速加密计算机硬盘驱动器上的文件。 对于加密,EFS使用用户的私钥和公用密钥,这些私钥和公用密钥是在用户首次使用加密功能时生成的。 只要他的帐户存在,这些密钥就保持不变。 加密文件时,EFS会随机生成一个唯一的编号,即所谓的128位文件加密密钥(FEK),使用该编号加密文件。 FEK密钥使用主密钥加密,该主密钥使用可以访问该文件的系统用户的密钥加密。 用户的私钥受同一用户的密码哈希保护。 使用EFS加密的数据只能使用执行加密操作的相同Windows帐户和相同密码解密。 而且,如果您将加密证书和私钥存储在USB令牌或智能卡上,则要访问加密的文件,您还需要该USB令牌或智能卡,这解决了密码泄露的问题,因为以电子钥匙的形式。
认证方式
如前所述,您不需要AD或证书颁发机构进行配置,您需要任何现代Windows,JSL发行版和许可证。 该设置很容易让人感到耻辱。
您需要安装许可证文件。
添加用户个人资料。
并开始使用两因素身份验证。
生物特征认证
可以使用生物特征指纹认证。 该解决方案使用Match On Card技术。 指纹的哈希值会在初始初始化期间写入卡中,然后与原始文件进行验证。 它不会从卡上移到任何地方;它没有存储在某些数据库中。 要解锁此类密钥,请使用指纹或PIN +指纹,PIN或指纹的组合。
要开始使用它,您只需要使用必要的参数初始化卡,记下用户的指纹即可。
将来,进入操作系统之前,将弹出相同的窗口。
在本示例中,通过指纹或PIN码进行身份验证的可能性来初始化卡,这是身份验证窗口报告的内容。
出示指纹或PIN后,用户将被带到OS。
资料加密
配置EFS也不是很复杂,它取决于设置证书并将其颁发给电子钥匙并设置加密目录。 通常,不需要对整个驱动器进行加密。 真正重要的文件(第三方不建议访问)通常位于单独的目录中,并且不会像在磁盘上那样分散。
要发布加密证书和私钥,请打开用户帐户,然后选择-管理文件加密证书。 在打开的向导中,在智能卡上创建一个自签名证书。 随着我们继续将智能卡与BIO小程序一起使用,您必须提供指纹或PIN才能记录加密证书。
在下一步中,指定将与新证书关联的目录,必要时,您可以指定所有逻辑驱动器。
接下来,系统再次要求您输入PIN或出示指纹,证书将直接颁发给智能卡。
接下来,您需要配置特定目录。 在我们的示例中,这是用户仓鼠中的Documents文件夹。 打开文件夹属性,然后选择-加密内容以保护数据。
接下来,指定仅将设置应用于当前文件夹或包括所有子目录。
加密目录本身及其中的文件将以不同的颜色突出显示。
根据选择的内容,仅在显示指纹或PIN码时使用电子钥匙才能访问文件。
这样就完成了设置。
您可以同时使用两种方案(身份验证和加密),也可以专注于一件事。