Разблокировка устройств реализована в двух режимах:
- Режим online-разблокировки подразумевает, что рабочая станция пользователя, к которой подключено заблокированное устройство, имеет соединение с сервером RutokenKeyBox. Соединение с сервером необходимо для проведения аутентификации пользователя при помощи ответов на секретные вопросы. Для связи рабочих станций пользователей с сервером RutokenKeyBox при online-разблокировке рекомендуется использовать защищенное соединение (https).
Режим offline-разблокировки осуществляется оператором RutokenKeyBox по принципу аутентификации вида запрос-ответ (англ. challenge-response authentication mechanism).
При исчерпании заданного числа попыток ввода PIN-кода, пользователь получает сообщение о том, что его устройство заблокировано. Вместе с сообщением пользователь получает уникальный 16 символьный код-запрос. Пользователю необходимо связаться с оператором системы (например, по телефону) и подтвердить свою личность.
Настройка разблокировки устройств через групповые политики
Для включения возможности онлайн-разблокировки устройств настройте соответствующую групповую политику. Эта политика должна распространяться на рабочие станции пользователей RutokenKeyBox.
Для добавления административных шаблонов Indeed-Id выполните следующие действия:
1. Скопируйте содержимое каталога RutokenKeyBox.Client\Misc\ в центральное хранилище ADMX-файлов контроллера домена C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions.
2. Откройте консоль Управление групповой политикой (Group Policy Management).
3. В дереве окна консоли создайте новый объект групповой политики, или выберите существующий.
4. Вызовите контекстное меню и выберите пункт Изменить (Edit).
5. В открывшемся Редакторе управления групповыми политиками (Group Policy Management Editor) выберите Конфигурация компьютера (Computer Configuration) > Политики (Policies) > Административные шаблоны (Administrative Templates) > RutokenKeyBox > Client.
6. Включите политику Сервер разблокировки смарт-карт и укажите её значения:
в параметре URL сервиса укажите ссылку на компонент credprovapi, размещенный на сервере RutokenKeyBox.
https://<FQDN сервера RutokenKeyBox>/credprovapi
- в параметре Проверять сертификат сервера установите значение Да, если необходимо проводить проверку подлинности сертификата сервера. Установите Нет (значение по умолчанию), если проверку подлинности проводить не требуется.
7. Свяжите этот объект политики с группой, членами которой являются рабочие станции пользователей системы Рутокен KeyBox.
8. Нажмите Применить (Apply) и выполните обновление политик.
В случае необходимости настройте дополнительные политики, определяющие работу сервиса разблокировки:
Задать разъяснения для offline-разблокировки
Политика применяется к рабочим станциям пользователей. Если политика выключена или не определена, то при offline-разблокировке устройства текст разъяснения в Credential Provider не отображается.
Если политика включена то, при offline-разблокировке устройства в Credential Provider будет отображаться указанный в политике текст разъяснения. Например, контактный телефон администратора Indeed CM.
Credential Providers: Отключить обертку стандартного провайдера смарт-карт
Политика применяется к рабочим станциям пользователей. Если политика выключена или не определена, пользователь имеет возможность выполнить разблокировку смарт-карты в стандартном интерфейсе входа в ОС Windows по смарт-карте.
Если политика включена, то отдельная опция для разблокировки смарт-карты будет отображаться на экране входа в ОС. Такая настройка может быть использована в ситуации, когда на рабочей станции установлено стороннее ПО, запрещающее разблокировку карты через стандартный Credential Provider.
Credential Providers: Скрывать опцию "Выключить смарт-карту"
Политика применяется к рабочим станциям пользователей. Если политика выключена или не определена, пользователь имеет возможность выполнить выключение смарт-карты в интерфейсе входа в ОС Windows.
Если политика включена, то опция для выключения смарт-карты не будет отображаться на экране входа в ОС.
Настройка разблокировки устройств вне домена Windows
В случае, когда сервер Indeed CM и рабочие станции пользователей находятся вне домена Windows, путь к приложению credprovapi необходимо прописать в реестре каждой клиентской рабочей станции. Для этого создайте файл реестра (.reg) со следующим содержанием:
|
В параметре CredProvAPIURL задайте адрес приложения credprovapi на сервере Indeed CM.
В параметре AdminDetails задайте текст разъяснения для пользователя.
В параметре DisableServerCertivicateChecking установите значение 0 (значение по умолчанию), если необходимо проводить проверку подлинности сертификата сервера Indeed CM. Установите 1 (dword:00000001), если проверку подлинности проводить не требуется.
В параметре DisableSuspendCP установите значение 0 (значение по умолчанию), если в интерфейсе ОС необходимо отображать кнопку "Выключение смарт-карты" или значение 1 (dword:00000001), если кнопку "Выключение смарт-карты" отображать не требуется.
В параметре DisableWrapperCP установите значение 0 (значение по умолчанию), если необходимо выполнять разблокировку смарт-карты с использованием стандартного Credential Provider. Установите значение 1 (dword:00000001), если необходимо использовать отдельный Credential Provider.
Ниже приведен пример .reg-файла для сервера Indeed CM с именем машины certificatemanagerSRV, включенной проверкой подлинности сертификата сервера, отключенным отображением кнопки "Выключить смарт-карту" и включенной опцией разблокировки смарт-карты в отдельном Credential Provider на экране входа в ОС:
Пример:
|