我们有一个 Windows x64 工作站,用于控制对我们的运营至关重要的特殊设备。这个工作站只有少数经过培训的操作员“知道”如何操作它。然而,它运行的是 Windows,这鼓励了其他没有经过培训的人来摆弄工作站,这显然会造成问题。
我们已经讨论过如何缓解这个问题,但多个用户帐户并不是一个选择。我们想出的最好的办法是某种智能卡功能。智能卡对我来说是新事物,但在阅读它们时,我发现它们似乎与登录过程有关。我正在寻找一种可以在智能卡被移除时锁定屏幕/键盘/鼠标,然后在重新插入时立即解锁的东西。有人知道类似的东西吗?
更新
感谢大家的回复。我其实希望得到一个交钥匙软件包,或者一些类似的东西的建议。
答案1
您考虑过生物识别技术吗?指纹读取器通常允许每个用户帐户输入 5 或 10 个指纹(每根手指一个),或者理论上允许一个用户帐户输入 5-10 个人的指纹(只需将每个人的手指扫描到不同的位置即可)。
如果是在工业场所,这种方法就行不通了——读取器会变脏,手指会变脏,污垢、灰尘都会对生物识别产生不利影响。而且这种方法也并非万无一失(《流言终结者》有一集精彩的节目就是关于这个的),但它应该能阻止诚实的用户。
我也看到了一个出色的系统贸易通所有地方(可惜这没能阻止他们搞砸我们的订单)。
他们有Sun 瘦客户机使用智能卡。每次他们从办公桌上跳起来并带走他们的卡时,会话就会被锁定。将卡放回去,会话就会解锁。
当然,作为瘦客户端,它意味着它依赖于终端服务器,而且我猜考虑到你的设备的敏感性,这并不切实际,但如果它存在于瘦客户端级别,我相信也会有适用于传统桌面的产品。
答案2
如果你打算将该系统更新到较新版本的 Windows,请查看智能卡组策略和注册表设置在 Technet 文档中。
这智能卡移除策略服务Windows 7 提供的锁定/解锁功能可让您立即获得所需的锁定/解锁功能。您所要做的就是对其进行配置。
对于较旧的 Windows 版本,您需要附加软件才能完成锁定/解锁。市场上有各种接近锁定/解锁/登录解决方案,其中大部分使用 RFID 钥匙。
答案3
我实际上已经实现了这个功能,并针对智能卡身份验证进行了广泛的测试。Sam 的 Microsoft KB 文章链接中暗示了它检查的内容和工作原理:http://support.microsoft.com/kb/281245
当您使用智能卡证书时,大多数情况下,智能卡上附加的证书是在卡上生成的,并且私钥无法导出。因此,在多张卡上使用相同的证书可能行不通,除非它是在卡外生成然后导入的。并非所有卡都允许以这种方式导入密钥。但是,您可以颁发登录到同一帐户的多个证书。您只需确保所有证书上的 UPN 都匹配,即使证书不相同。
根据经验和一些 technet/MSDN 文章,Microsoft Active Directory 会检查以下事项,以查看它们是否符合根据智能卡提供的证书允许访问的要求:
- 颁发证书的 CA 是否值得信赖,可以认证智能卡登录?
- 颁发 CA 证书是否有效(未过期、未撤销)?
- 智能卡证书是否由受信任且有效的 CA 颁发?
- 智能卡证书是否有效(未过期、未撤销)?
- 证书 SubjAltName 上的用户主体名称是否与 Active Directory 中的用户主体名称匹配?示例:[电子邮件保护]
- 能否按照智能卡证书和 CA 中的规定积极检索证书吊销列表以确认吊销状态?
- 智能卡证书是否具有智能卡登录的密钥用途?
一旦以上所有条件都满足,智能卡认证就会成功。
您甚至可以使用一张智能卡来验证不相关或不受信任的域。例如,如果具有 Windows 登录名的用户[电子邮件保护]已颁发智能卡登录证书[电子邮件保护];约翰·多伊可以登录 domainB.com 即使简·史密斯只要将颁发 CA 正确导入到域 B 的 AD 中,并作为智能卡颁发的可信 CA,并且简·史密斯的帐户设置为能够登录[电子邮件保护]。
需要注意的是,Windows 2000 之前的登录格式:DOMAIN\username 不用于验证智能卡证书。因此,您可以将 Windows 2000 之前的登录设置为一种形式,而将 UPN 设置为另一种形式。
最后,由于上述影响,在安全性较高的环境中,CA 的做法极其重要,因为如果 CA 不受控制,伪造身份验证很容易。可以想象,不验证证书申请者身份的 CA 可以颁发重复证书,允许其他人冒充特定个人。
答案4
为什么不为您域中的用户颁发单个证书,并使用该单个证书配置多张智能卡?这将允许多张卡共享相同的身份,这正是您所需要的(如果我理解正确的话)。智能卡确实需要一定程度的域功能和可能的 PKI 基础架构。如果您没有这些,您可以查看一些允许您完成类似操作的产品。