使用智能卡进行安全访问规划指引.docVIP

使用智能卡进行安全访问规划指南第 2 章 - 智能卡技术 网络数据存储是几乎所有组织的基本业务要求。 组织为了进行通信和产生收入，常常必须将包含敏感和专有数据的网络连接至 Internet。 不断要求更大的连接性暴露很大的安全风险，因为大多数组织使用用户名和密码进行身份验证以及授权访问网络资源。 第 1 章“简介”重点介绍用户名和密码组合的主要安全问题。 用户名不保密，因此只有密码提供有效的安全性，防止攻击者试图假冒有效用户。 人们认识到用户名和密码凭据的脆弱性，因此越来越关注二元身份验证系统。 二元身份验证 二元身份验证优于简单的用户名和密码组合，要求用户提交某种形式的唯一令牌及 PIN。 实施二元身份验证有多种方式，毫无疑问将来会更多。 硬件令牌 硬件令牌是一种二元身份验证方法。使用这种方法时，用户拥有物理实体，如密钥卡或信用卡验证器。 此硬件提供简单的一次性身份验证代码，该代码通常每 60 秒更改一次。 用户必须同时匹配一次性代码和保密 PIN 才能唯一地标识自己的身份，从而获得访问权。 硬件令牌具有智能卡的许多优点，但是可能涉及更复杂的规划和部署过程。 Microsoft? Windows Server? 2003 和 Windows??XP 不提供对硬件令牌的内置支持。 智能卡 智能卡是信用卡大小的塑料物体，包含微型计算机和少量内存，为私钥和 X.509 安全证书提供安全的防篡改存储。 智能卡通常具有 32 或 64 KB 的电可擦可编程只读存储器 (EEPROM) 和只读存储器 (ROM) 以及仅为 1 KB 的 RAM。 ROM 包含智能卡操作系统，EEPROM 包含文件和目录结构、PIN 管理小程序以及身份验证证书。 RAM 为卡操作（如加密和解密）提供工作内存。 要向计算机或通过远程访问连接进行身份验证，用户将智能卡插入适当的读取器并输入 PIN。 用户不能仅凭 PIN 或仅凭智能卡获取访问权。 因为在尝试输入 PIN 失败若干次之后智能卡锁定，所以暴力攻击智能卡 PIN 是不可能的。 PIN 通常为八个字符或更少，因此比长长的随机字符密码容易记。 智能卡是 Microsoft 首选的二元身份验证机制。 注意： 智能卡 PIN 不一定为数字。 智能卡供应商开发工具包使您能够指定需要多少个字母、数字、大写、小写或非字母数字字符。 Microsoft 为域管理员和网络资源远程访问部署智能卡，并希望作为纵深防御计划的一部分促进这项实践。 Microsoft 咨询服务、高级支持、客户支持服务、Microsoft 合作伙伴及其他解决方案供应商鼓励组织使用智能卡保护网络访问。 以下列表概述为网络管理员实施智能卡解决方案所需的步骤： ?使目标服务器能够支持使用启用智能卡的帐户进行交互式辅助远程桌面登录。 ?标识必须使用启用智能卡的域级管理员帐户的管理员。 ?部署智能卡读取器。 ?制定分发智能卡和注册管理员的安全过程。 以下列表概述集成远程访问智能卡解决方案所需的过程。 ?升级远程访问服务器以支持智能卡身份验证。 ?标识必须使用智能卡进行远程访问的用户。 ?部署智能卡读取器。 ?将智能卡分发给适当的管理员并注册远程用户。 实施先决条件 智能卡部署需要有计划地进行，以确保组织在实施阶段开始之前考虑所有问题。 本节讨论最常见的先决条件，您的环境中可能还有其他要求。 标识帐户 标识需要智能卡访问的用户和组是智能卡部署的重要部分。 注意： 如果组织有预算和安全要求，对所有用户实施智能卡访问，则可以跳过此步骤。 需要智能卡的组和用户可能包括： ?林中所有域的域管理员 ?架构管理员 ?企业管理员 ?数据库管理员 ?人力资源管理员 ?具有远程访问权的用户 ?对敏感资源（如会计和财务信息）具有用户或管理访问权的用户 组织还可能对不在以上列表中的用户和组（如董事级人员）要求智能卡访问。 在该过程中及早标识这些帐户有助于定义项目范围和控制成本。 要标识重要帐户，必须定义何时使用智能卡。 例如，作为好的安全做法，建议为管理员提供两个用户帐户： 一个标准帐户（用于电子邮件等日常任务）和一个管理员级帐户（用于服务器维护及其他管理任务）。 通常，管理员使用用户级帐户登录，使用 Secondary Logon 服务执行管理任务。 另外，管理员也可以使用 Windows Server 2003 的用于管理的远程桌面组件，该组件支持智能卡登录。 有关管理员帐户的详细信息，请参阅第 3 章“使用智能卡帮助保护管理员帐户”中的“标识管理员帐户和组”一节。 智能卡基础结构支持 智能卡需要适当的基础结构以及操作系统和网络元素的支持。 Microsoft 提供对使用下列组件的智能卡实施的支持： ?Microsoft 证书服务或外部公钥基础结构 (PK