none
SmartCard "How-To" gesucht RRS feed

  • Frage

  • Hallo, wir sollen hier die Anmeldung für unsere ca. 50 Nutzer auf SmartCard umstellen, wobei als Karten Gemalto .NET V2+ zum Einsatz kommen sollen. Hierbei ergeben sich bei uns jede Menge Fragen, sodass ich auf der Suche nach einer Art "How-To" bin. Wir haben eine unternehmensinterne CA und auch schon testweise Zertifikate für die Benutzeranmeldung erstellt und ausgerollt und diese können für die lokale Anmeldung auch verwendet werden, ABER:

    • Die SmartCard Zertifikate sollen auch zur Anmeldung über RDP verwendet werden. Geht aber nicht, obwohl die Treiber auf den Servern (2008R2, 2003r2 x64)
      drauf sind.
    • Bei einigen Maschinen im Netz soll auch weiterhin die Anmeldung per Passwort möglich sein - bei einigen nur per SC. Wie stellt man das ein?
    • Die Maschinen sollen sich sperren, wenn die SC gezogen wird. Wie stellt man das ein?
    • Wie rollen wir 50 Karten aus? Müssen die Zertifikate alle einzelnen angefordert und beschrieben werden? Oder gibt es eine
      Möglichkeit via (Batch?)
    • Mobile User sollen sich unterwegs an den Notebooks auch per SC anmelden. Geht das, wenn keine Verbindung zur CA besteht?

    Gibt es da eine gute Quelle im Netz, wo solche Fragen behandelt werden? Ein Buch?

    Danke für alle Tips! Oliver

    Montag, 26. März 2012 14:32

Antworten

  • Hallo Oliver

    Deinem Post entnehme ich, dass das Thema Public Key Infrastructure (PKI) mit Zertifizierungsstelle (CA) und SmartCards eher Neuland für Dich und Deine Kollegen ist. Ein alles abdeckendes HowTo ist mir nicht bekannt. Gleichwohl liefert das Internet und bspw. das Microsoft Press Buch "Windows Server 2008 PKI- und Zertifikat-Sicherheit" von Brian Komar einen sehr guten Einstieg in die doch recht komplexe Welt der IT-Sicherheit.

    Zu Deinen Fragen:

    1. RDP-Anmeldung geht auch über SmartCard - was für einen Fehler erhälst Du denn?

    2. In der Active Directory kannst Du bspw. pro Benutzerkonto festlegen wie es sich verhalten soll. Die Funktion hierfür ist: Smartcard is required for interactive Login

    3. Weiß ich nicht aus dem Stehgreif - wird wohl via GPO gehen und sollte sich leicht ermitteln lassen :)

    4. Du kannst das Smartcard Enrollment über Microsoft Forefront Identity Manager 2010 - Certificate Management durchführen - das kostet aber extra Lizenzen und benötigt einen extra Server

    5. das nutzen der Smartcard ohne direkte Verbindung zur CA ist kein Problem

    Natürlich besteht auch die Möglichkeit, dass Du Dich vertrauensvoll an eine Beratungsfirma wendest oder zum Beispiel unsere PKI Schulung im Mai besuchst :). Ich bin mir sicher, dass dort alle Deine Fragen beantwortet werden. Ich hoffe ich konnte Dir weiterhelfen.

    LG Bodo


    • Bearbeitet Bodo von Zedlitz Montag, 26. März 2012 17:12
    • Als Antwort markiert J4_man Freitag, 30. März 2012 04:13
    Montag, 26. März 2012 17:11

Alle Antworten

  • Hallo Oliver

    Deinem Post entnehme ich, dass das Thema Public Key Infrastructure (PKI) mit Zertifizierungsstelle (CA) und SmartCards eher Neuland für Dich und Deine Kollegen ist. Ein alles abdeckendes HowTo ist mir nicht bekannt. Gleichwohl liefert das Internet und bspw. das Microsoft Press Buch "Windows Server 2008 PKI- und Zertifikat-Sicherheit" von Brian Komar einen sehr guten Einstieg in die doch recht komplexe Welt der IT-Sicherheit.

    Zu Deinen Fragen:

    1. RDP-Anmeldung geht auch über SmartCard - was für einen Fehler erhälst Du denn?

    2. In der Active Directory kannst Du bspw. pro Benutzerkonto festlegen wie es sich verhalten soll. Die Funktion hierfür ist: Smartcard is required for interactive Login

    3. Weiß ich nicht aus dem Stehgreif - wird wohl via GPO gehen und sollte sich leicht ermitteln lassen :)

    4. Du kannst das Smartcard Enrollment über Microsoft Forefront Identity Manager 2010 - Certificate Management durchführen - das kostet aber extra Lizenzen und benötigt einen extra Server

    5. das nutzen der Smartcard ohne direkte Verbindung zur CA ist kein Problem

    Natürlich besteht auch die Möglichkeit, dass Du Dich vertrauensvoll an eine Beratungsfirma wendest oder zum Beispiel unsere PKI Schulung im Mai besuchst :). Ich bin mir sicher, dass dort alle Deine Fragen beantwortet werden. Ich hoffe ich konnte Dir weiterhelfen.

    LG Bodo


    • Bearbeitet Bodo von Zedlitz Montag, 26. März 2012 17:12
    • Als Antwort markiert J4_man Freitag, 30. März 2012 04:13
    Montag, 26. März 2012 17:11
  • Ich würde gerne wähnliches versuchen und würde mich freuen wenn du ein paar HowTos posten würdest die du gefunden hast (und natürlich auch funktionieren). Danke
    Montag, 26. März 2012 22:05
  • Hallo und vielen Dank für die Hinweise!

    zu...

    1. war der falsche Treiber - geht jetzt... *peinlich*
    2. OK, sehe ich mir mal an.
    3. dto.
    4. OK
    5. OK

    Die Schulung sieht prima aus - ist nur etwas sehr umfangreich. So lange kann ich auch hier für eine Schulung
    nicht weg...

    Eine Frage noch: Gibt es ein Tool, mit dem man die Zertifikate auf den SmartCards managen kann? Ich meine damit, ansehen, welche
    drauf sind, löschen etc...

    Danke! Oliver

    Mittwoch, 28. März 2012 09:17
  • Hallo Oliver,

    ich habe noch einmal nachgesehen in den Gruppenrichtlinien unter

    >Computerkonfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Verhalten beim Entfernen von Smartcards<

    hast Du die Möglichkeit zwischen

    • Ignorieren
    • Computer sperren
    • Abmelden erzwingen

    zu wählen.

    Für das verwalten der Smartcards schau doch mal ob Dir dsstore nicht bereits genügt.

    LG Bodo

    Mittwoch, 28. März 2012 09:38
  • Hallo Oliver,

    ist die Thematik jetzt geklärt? Wenn ja, bitte auch die Antworten die geholfen haben markieren, so dass auch andere davon profitieren können.

    Gruss,
    Raul


    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 29. März 2012 14:14
  • Hallo Bodo und Danke für die wertvollen Hinweise!

    Ich habe mir das Buch besorgt und das ist eine wertvolle Info-Quelle. Sehr nützlich dürfte auch dieses Cookbook hier sein (war es jedenfalls für mich)

    http://technet.microsoft.com/en-us/library/dd277386.aspx

    Für das Verwalten der Zertifikate komme ich mit dem Certutil gut zurecht. Wir überlegen hier, ob wir nicht ein kleines GUI dafür bauen...

    LG Oliver

    Freitag, 30. März 2012 04:13