web-dev-qa-db-ja.com

ロック解除にスマートカードを要求するようにWindowsラップトップをセットアップする

スマートカードを使用してWindowsラップトップを保護する方法の詳細を探しています。

このシナリオでは、ラップトップを車に搭載し、インターネット経由で(httpsを介して)リモートでアプリケーションサーバーに接続します。ラップトップでスケジュールおよび支払いアプリケーションが実行されます。顧客の場所で作業を行う場合、オペレーターは車両から離れていることがよくあります。

システムを使用するには、オペレーターはスマートカードをラップトップのリーダーに挿入する必要があります。これでラップトップのロックが解除されます。アプリケーションサーバーに、スマートカードを使用してなんらかの方法で保存(またはアクティブ化)されるクライアント側の証明書を用意します。したがって、車両/ラップトップが盗難または侵害された場合、泥棒はスマートカードなしではサーバーにアクセスできません。

確かに、ラップトップが盗まれたことがわかった後、ユーザーアカウントを無効にしたり、証明書を失効させたりすることができます。

理想的な世界では、ワイヤレス(Bluetooth?)スマートカードが好きなので、オペレーターは実際にはカードを挿入する必要はなく、すぐ近くにいます。 (このように: Blackberry + RIM Bluetoothベースのスマートカードリーダー

authenticationwindowssmartcard
5
Matt

ラップトップをWindowsで実行すると仮定すると、次のものが必要になります。

  • スマートカードを初期化および管理する PKIソリューション 。各スマートカードには、秘密キーと関連する証明書が含まれます。

  • スマートカードログオン を有効にして、ユーザーがパスワードではなくスマートカードを使用してラップトップでセッションを開くようにします(スマートカード自体にPINコード);

  • カードが取り外されたときにラップトップをロックするローカルポリシーを設定する(これは簡単です);

  • hTTPSサーバーで証明書ベースのクライアント認証をアクティブ化します(サーバーがIISの場合は this を参照)。

私はこれをすべて その種類のカード で行いました。それらは、「USBキー」(実際にはUSBベースのスマートカードリーダーが組み込まれたスマートカード)など、いくつかのフォームファクターで提供されます。すべてのラップトップにはUSBポートがあります。最大のコストはPKIです。特に 無料のPKI があるため(特に、 this を確認する必要があるため、実際にはソフトウェアではありません) )。 PKIの95%は手続きです。つまり、時間をかけて物事を行い、それが正しいことを確認し、他の人が正しく行ったことを監査している人です。

8
Thomas Pornin