Как настроить winlogon криптопро

КриптоПро Winlogon — Использование

Архитектура аутентификации в Windows

В ОС семейства Windows применялось несколько различных методов авторизации и аутентификации пользователей: SMB, NTLM, Novell, RADIUS, Kerberos и т.п. На сегодняшний день большинство этих методов представляют лишь исторический интерес. Современные методы авторизации и аутентификации пользователей RADIUS (EAP) и Kerberos являются открытыми промышленными стандартами и позволяют достичь любого необходимого уровня защиты информации с помощью дополнительных методов аутентификации. КриптоПро Winlogon — расширяет метод первоначальной аутентификации PKINIT протокола Kerberos. Дополнительную информацию по использованию аутентификации Kerberos в ОС семейства Windows можно найти по нижеследующим ссылкам:

Аутентификация по протоколу Kerberos в Microsoft® Windows®

В операционной системе Microsoft® Windows® 2000/XP/2003 аутентификация пользователей в домене производится по умолчанию с помощью протокола Kerberos. Использование этого стандарта создает надежную основу для взаимодействия между различными платформами и при этом значительно повышает безопасность сетевой аутентификации.

В Windows 2000/XP/2003 применяется последняя редакция протокола Kerberos версии 5 (RFC 4120). Безопасность системы обеспечивает клиент Kerberos с помощью интерфейса Security Support Provider Interface. Первоначальная проверка пользователя производится в рамках процесса Winlogon, которая обеспечивает единую регистрацию пользователей в системе. Центр распределения ключей Key Distribution Center (KDC) Kerberos интегрирован с другими службами безопасности Windows 2000/2003, установленными на контроллере домена. Учетные записи безопасности хранятся в базе данных службы каталогов Active Directory.

Windows для доступа с помощью смарт-карт использует сообщения PKINIT протокола Kerberos версии 5 (RFC 4120). КриптоПро Winlogon добавляет в PKINIT поддержку российских криптографических алгоритмов.

Несколько упрощая, можно сказать, что процесс аутентификации по протоколу Kerberos работает по принципу проверки и передачи учетных данных между клиентами и серверами. Вот как это происходит. Когда пользователь входит в домен Windows 2000/2003, операционная система находит сервер Active Directory и службу аутентификации Kerberos и передает ей учетные данные клиента. Для этого формируется запрос в специальном формате, часть которого зашифровывается с помощью ключа, полученного из введенного пользователем пароля.

Служба KDC (Key Distribution Center) Kerberos, называемая службой распространения ключей после проверки данных клиента, необходимых для подтверждения подлинности, выдает пользователю билет TGT (Ticket-Granting Ticket). Этот билет затем используется для идентификации клиента, когда он запрашивает последующие билеты Kerberos для получения доступа к сетевым ресурсам. Хотя это сложный процесс, участие пользователя заключается лишь во введении пароля при входе.

На приведенном ниже рис. 1 показано взаимоотношения между клиентом, центром KDC и сервером ресурсов, использующими протокол аутентификации Kerberos.

Рис. 1. Процесс аутентификации по протоколу Kerberos

Аутентификация с помощью смарт-карты

При регистрации с помощью смарт-карт используется пара, состоящая из личного и открытого ключей, которая хранится в памяти смарт-карты. Расширение протокола Kerberos, определяющее порядок применения открытых ключей при обмене по подпротоколу AS Exchange, предусматривает следующий порядок использования такой пары.

Открытая ее часть служит для шифрования сеансового ключа пользователя службой KDC, а личная – для расшифрования этого ключа клиентом.

Регистрация начинается с того, что пользователь вставляет свою смарт-карту в специальное считывающее устройство, подключенное к компьютеру. При соответствующей конфигурации Windows это равносильно сигналу SAS, то есть, одновременному нажатию клавиш CTRL+ALT+DEL. В ответ Winlogon направляет на настольную систему, динамически подключаемую библиотеку MSGINA, которая выводит на экран стандартное диалоговое окно регистрации. Правда, теперь пользователю нужно ввести только один параметр – персональный идентификационный номер PIN (Personal Identification Number).

Kerberos SSP клиентского компьютера направляет в службу KDC сообщение KRB_AS_REQ – первоначальный запрос на аутентификацию. В поле данных предварительной аутентификации этого запроса включается сертификат открытого ключа пользователя. KDC проверяет подлинность сертификата и извлекает из него открытый ключ, которым шифрует ключ сеанса регистрации. После этого он включает этот ключ вместе с билетом TGT в сообщение KRB_AS_REP и направляет его клиенту. Расшифровать сеансовый ключ сможет только тот клиент, у которого есть секретная половина криптографической пары, функции которой на этом заканчиваются. Вся дальнейшая связь между клиентом и службой KDC поддерживается на основе сеансового ключа. Никаких других отклонений от стандартного процесса регистрации и вхождения в сеть не требуется.

По умолчанию поставщик Kerberos, работающий на клиентском компьютере, в качестве данных предварительной аутентификации направляет в службу KDC зашифрованную метку времени. На системах же, конфигурация которых предусматривает регистрацию с применением смарт-карты, роль данных предварительной аутентификации отводится сертификату открытого ключа.

Поддерживаемые КриптоПро Winlogon ключевые носители

КриптоПро Winlogon Клиент поддерживает следующие типы смарт-карт:

российские интеллектуальные карты (РИК1, Оскар) с использованием считывателей смарт-карт, поддерживающих протокол PS/SC (GemPlus GCR-410, Towitoko, Oberthur OCR126 и др.);
электронный ключ с интерфейсом USB;

КриптоПро Winlogon KDC для хранения секретного ключа KDC может использовать любой ключевой носитель, поддерживаемый КриптоПро CSP или, для наилучшей защищённости, использовать Атликс HSM.

Использование КриптоПро Winlogon для интерактивной регистрации в домене Microsoft Windows 2003 Server

Использование КриптоПро Winlogon для интерактивной регистрации пользователей в домене Microsoft Windows обеспечивает аутентификацию пользователей на российских криптографических алгоритмах ГОСТ 28147-89, ГОСТ Р 34.10-2001 и ГОСТ Р 34.11-94.

При успешном прохождении процесса регистрации пользователь вместе с билетом TGT получает данные авторизации. Аутентифицированный и авторизованный пользователь получает доступ к разрешенным сервисам и серверам домена. Например, для доступа к локальному компьютеру домена, общим папкам других пользователей, серверу MS Exchange, ISA серверу без дополнительной аутентификации.

Возможная конфигурация изображена на рисунке 2.

Рис. 2. Возможная конфигурация защищенного домена

Настройка ISA-сервера

Microsoft ISA Server может быть настроен, например, для ограничение доступа пользователей домена во внешние сети. Для этого необходимо на рабочие места пользователей установить Firewall Client. А в параметрах брандмауэра установить обязательную аутентификацию клиентов внутренней сети и создать правило доступа/запрета доступа для необходимых клиентов (групп).

Для защиты трафика между сервером и клиентом может быть использован протокол КриптоПро TLS.

Настройка SQL-сервера

MS SQL Server также может быть настроен на использование протокола аутентификации Kerberos, так, что только прошедшие проверку пользователи получат доступ к серверу.

Настройка Exchange-сервера

Если для подключения MS Outlook к MS Exchange серверу используется протокол exchange, аутентификация клиентов будет производиться по протоколу Kerberos. Дополнительно можно потребовать «Всегда запрашивать имя и пароль» — в этом случает будет отображаться окно ввода пароля/вставки смарт-карты на MS Windows XP и старше.

Также сертификаты и ключи со смарт-карты (при использовании соответствующего шаблона сертификатов, например, «пользователь со смарт-картой») могут быть использованы для ЭЦП и шифрования почтовых сообщений. (На MS Windows XP и старше – устанавливаются в хранилище автоматически при вставке смарт-карты).

Настройка серверов других ОС

Для настройки серверов функционирующих под управлением других ОС, таких как семейство Unix (Solaris, Linux, FreeBSD), следует:

Настроить получение учётных данных пользователя из Active Directory;

Настроить получение результатов первоначальной аутентификации по протоколу Kerberos;

Настроить прикладные сервера на использование GSS-API (или Kerberos);

Источник

Как настроить winlogon криптопро

КриптоПро Winlogon предназначен для ОС семейства Microsoft Windows и реализует первоначальную аутентификацию пользователя протокола Kerberos V5 (RFC 4120) по сертификату и ключевому носителю (смарт-карта, USB-токен) с использованием сертифицированного СКЗИ «КриптоПро CSP» версии 3.0 и выше.

Открытые ключи и ЭЦП по ГОСТ Р 34.10 используются для аутентификации и авторизации пользователя домена Windows в соответствии с RFC 4490.

Сертификаты пользователей и контроллеров домена могут либо выпускаться и управляться с помощью сертифицированного КриптоПро УЦ, либо находиться под управлением домена Windows.

Назначение

КриптоПро Winlogon предназначен для:

Первоначальной аутентификацию пользователей домена Windows (сферы Kerberos) по ключевому носителю (смарт-карта, USB-токен) на основе сертификатов открытых ключей X.509;
Аутентификации контроллеров домена при сетевых взаимодействиях;
Обеспечения конфиденциальности и имитозащиты терминальных сессий (Microsoft Remote Desktop Protocol (RDP), Citrix ICA).

Основные характеристики

Первоначальная аутентификация производится с использованием алгоритмов ГОСТ Р 34.10-2001/2012 и ГОСТ Р 34.11-94/2012.

Удостоверяющие Центры (УЦ) необходимые для создания и управление сертификатами пользователей и контроллеров домена:

КриптоПро УЦ;
УЦ совместимые с RFC 4491;
Microsoft Enterprise Certificate Authority (CA) входящий в состав Windows Server 2000/2003/2008/2008R2/2012/2016.

КриптоПро Winlogon получает информацию о статусе сертификатов от:

CDP (CRL Distribuition Point) по протоколам HTTP, LDAP и др.;
AIA (Authority Information Access) по протоколу OCSP c использованием КриптоПро Revocation Provider.

Поддерживаемые платформы

КриптоПро Winlogon сервер (KDC, Remote Desktop Server, Citrix) функционирует в следующих операционных системах (ОС):

Windows 2000 Server;
Windows Server 2003;
Windows Server 2008;
Windows Server 2008 R2;
Windows Server 2012;
Windows Server 2016.

КриптоПро Winlogon клиент (вход в домен) функционирует в следующих ОС:

Windows 2000 (Professional/Server);
Windows XP;
Windows Server 2003;
Windows Vista;
Windows Server 2008;
Windows 7;
Windows Server 2008 R2;
Windows 8;
Windows 10;
Windows Server 2012;
Windows Server 2016.

Защищённый доступ к серверу терминалов поддерживается из следующих ОС:

Windows 2000 (Professional/Server);
Windows XP;
Windows Server 2003;
Windows Vista;
Windows Server 2008;
Windows 7;
Windows Server 2008 R2;
Windows 8;
Windows Server 2012;
Windows Server 2016.

Совместимые серверы

Результат аутентификации может быть использован на любом сервере, который предназначен для взаимодействия с доменом Windows или со сферой Kerberos V5. Методы настройки для некоторых прикладных серверов описаны по нижеследующим ссылкам.

Загрузка

При использовании КриптоПро CSP 3.6 и выше отдельная установка продукта КриптоПро Winlogon не требуется.

Для использовании КриптоПро Winlogon c КриптоПро CSP 3.0 необходимо скачать и установить дистрибутив по одной из приведенных ниже ссылок:

Срок использования пробной версии КриптоПро Winlogon ограничен 30 днями с момента установки. Для дальнейшей эксплуатации необходимо получить лицензию на использование продукта в ООО «КРИПТО-ПРО» или у официального дилера.

Источник

Что такое КриптоПро Winlogon

КриптоПро Winlogon — это программное обеспечение для проверки серверов, контролирующее компьютерную сеть и пользователей в операционной системе Windows. Осуществляет аутентификацию статуса пользователя с помощью сертификатов открытых ключей и электронных цифровых подписей (ЭЦП). Аутентификация осуществляется при входе пользователей на домен с использованием средства криптографической защиты информации (СКЗИ) «КриптоПро CSP» версии 3.0 и выше.

Открытые ключи используются для проверки пользователя, а ЭЦП для авторизации домена Windows в соответствии с RFC 4490. Сертификаты пользователей и контроллеров домена выпускаются и управляются с помощью сертифицированного удостоверяющего центра или находятся под управлением домена операционной системы.

Его назначение

Программное обеспечение усиливает сетевой протокол аутентификации «Kerberos» с помощью инструментов криптографической защиты информации, расширяя штатную функциональность операционной системы.

Kerberos — сетевой протокол взаимной аутентификации клиента и сервера, где начальный обмен информацией между клиентом и сервером происходит в незащищённой среде.

Программное обеспечение КриптоПро Winlogon формирует ключи шифрования и ключи ЭЦП, шифрует данные, защищает их от навязывания ложных данных, обеспечивает целостность, подлинность и конфиденциальность информации.

Также КриптоПро Winlogon использует расширенный протокол аутентификации EAP-TLS (Extensible Authentication Protocol). Данный протокол использует двустороннюю криптографическую аутентификацию между удалённым пользователем и Radius сервером (Remote Authentication Dial-In User Service).

Характеристики

Программное обеспечение производит аутентификацию на любом сервере, который предназначен для взаимодействия с доменом Windows или со сферой Kerberos V5. При использовании КриптоПро CSP 3.0 необходимо скачать и установить дистрибутив по одной из приведённых ниже ссылок:

Отдельная установка КриптоПро Winlogon не требуется, если используется КриптоПро CSP 3.6 и выше.

Подробные характеристики о совместимости с вашим удостоверяющим центром, операционной системой, доменом и дополнительными настройками вы можете узнать у нашей круглосуточной поддержки.

Срок пробной версии программы — 30 дней с момента установки. После необходимо получить лицензию у официального дилера. «Астрал-М» распространяет, внедряет и сопровождает программы КриптоПро с круглосуточной поддержкой пользователей 24/7. Является официальным дилером продукции торговой марки КриптоПро. Приобрести продукцию и актуальную лицензию КриптоПро Winlogon легко, достаточно заполнить форму обратной связи на сайте, вписав своё имя, телефон и адрес электронной почты.

Источник