我想分享我们一年的经验,以找到一种解决方案来组织集中有序地访问组织中的电子安全密钥(用于访问交易大厅的密钥,银行密钥,软件安全密钥等)。 与我们在地理上彼此分离的分支机构的存在有关,以及在每个分支机构中都存在几个电子保护密钥-始终需要它们,但是在不同的分支机构中。 在丢失钥匙的情况下,管理人员接us而至,设定了任务-解决此问题并将所有USB保护设备收集在一个地方,并确保无论员工身在何处都能与他们一起使用。
因此,我们需要在一个办公室中收集公司,客户银行,1s许可证(哈希),rootkens,ESMART Token USB 64K等所有可用的密钥。 供以后在远程物理和虚拟机Hyper-V上使用。 USB设备的数量为50至60,请确保这不是限制。 虚拟化服务器在办公室(数据中心)外部的位置。 办公室中所有USB设备的位置。
我们研究了用于集中访问USB设备的现有技术,并决定专注于基于IP的USB技术(基于IP的USB)。 事实证明,许多组织都使用此特定解决方案。 市场上有USB over IP硬件和软件,但它们不适合我们。 因此,进一步,我们将仅专注于基于IP的硬件USB的选择,首先是我们的选择。 来自中国(无名)的设备,我们也将其排除在外。
Internet上最多描述的USB over IP硬件解决方案是在美国和德国制造的设备。 为了进行详细研究,我们购买了该USB over IP的大型机架安装版本,可用于14个USB端口,并且可以安装在19英寸机架中,而德国IP over USB则可以用于20个USB端口,也可以安装在19英寸机架中。 不幸的是,这些制造商没有大量的IP设备USB端口。
第一个设备非常昂贵且有趣(Internet上有很多评论),但是有一个很大的缺点-没有用于连接USB设备的授权系统。 任何安装USB连接应用程序的人都可以访问所有密钥。 此外,如实践所示,当永久性BSOD连接到USB设备“ esmart token est64u-r1”时,它不适合与该设备一起使用,并且不适合与Win7 OS上的“德语”一起使用。
第二个USB over IP设备对我们来说似乎更有趣。 设备具有与网络功能相关的大量设置。 USB over IP接口在逻辑上进行了分区,因此初始设置非常简单快捷。 但是,如前所述,连接多个键存在问题。
国内厂商对IP over USB硬件进行了进一步研究。 型号范围包括16、32、48和64端口版本,可以安装在19英寸机架中。 制造商描述的功能甚至比以前的IP over USB功能还丰富。 最初,我喜欢由家用控制的IP over USB集线器在通过网络共享USB时为USB设备提供两阶段保护:
- USB设备的远程物理电源开和关;
- 通过登录名,密码和IP地址授权连接USB设备。
- 通过登录名,密码和IP地址授权连接USB端口。
- 记录客户端对USB设备的所有包含和连接以及此类尝试(错误的密码输入等)。
- 流量加密(原则上在德国型号上还不错)。
- 此外,该设备虽然不便宜,但比以前购买的便宜几倍是合适的(当转换为端口时,差异变得尤为明显,我们认为是基于IP的64端口USB)。
我们决定与制造商一起澄清问题的解决,这是在早期有连接问题的两种类型的智能令牌的支持下进行的。 我们获悉,他们不能完全保证100%支持所有USB设备,但还没有找到一个会出现问题的设备。 我们对这样的答案不满意,建议制造商将代币转移进行测试(这样做的好处是运输公司的运输仅花费150卢布,而且我们有足够的旧代币)。 密钥发送后4天,我们被告知连接数据,并且与Windows 7、10和Windows Server 2008的连接非常好。一切正常,我们没有问题地连接了令牌,并有机会使用它们。
我们购买了具有64个USB端口的受控USB over IP集线器。 我们连接了来自不同分支机构中的18台计算机的所有64个端口(32个键,其余的分别是闪存驱动器,硬盘驱动器和3个USB摄像头),所有设备均正常运行。 通常,该设备令人满意。
我没有提供IP上USB设备的名称和制造商(这样就不会有广告了),它们可以在Internet上找到。