SmartCard-Anmeldungen im Active Directory

Sehr gut auf allen! Nach der Winterperiode und dem Rest, den ich normalerweise nutze, um Kraft zu tanken… Wir kehren mit vielen Beiträgen in der Pipeline und einem großen Kampfwillen zurück!!! Heute beginnen wir mit der Verwendung von SmartCards bzw. Chipkarten in unserer Organisation, um Benutzern die Möglichkeit zu geben, sich selbst zu validieren, Wir fingen an!

In diesem Beitrag werden wir versuchen herauszufinden, wie bequem der Einsatz von SmartCards oder Smartcards in unseren Organisationen sein kann., die Möglichkeit, eine Karte zu verwenden, mit der sie sich für die von ihnen benötigten Dienste validieren können. In diesem ersten Beitrag sehen wir alles, was im Active Directory notwendig ist, um diese Zertifikate ausstellen zu können, sowie zur Selbstvalidierung an Ihren Stationen oder per Remotedesktop.

Aber ich habe auch vor, Ihnen diese Technologie nahezubringen, Abgesehen davon, dass uns eine sicherere Ebene für Authentifizierungen zur Verfügung steht, (und wir haben die Kontrolle), Nun, es ist etwas Zugängliches. nämlich, dass wir uns Pakete mit weißen kryptografischen Karten mit einem Kartenleser kaufen können, um die von uns generierten Zertifikate in unser Active Directory einfügen zu können. Wenn Sie Zweifel haben, Bei der FNMT können Sie erwerben, was Sie brauchen, oder natürlich auch an anderen Orten.

Und für die ‚Drucken‘ Design, dann, wie wir uns vorstellen, Sie können online gekauft werden und kommen bereits mit unseren Designs bedruckt bei uns an, Oder wir kaufen einen Klebeticketdrucker, Qualität, eine Farbe, ohne Patronen… mit dem wir die Etiketten ausdrucken und einfach aufkleben können. Es dient nicht der Werbung, Aber falls es jemanden weiterleitet: Ich verwende dafür einen Brother VC-500W, der über ein Band verfügt 5 cm breit, ideal für diese Aufgaben. Ich verwende es auch, um die QR-Codes auszudrucken, die ich an Kunden sende, die es benötigen, um ihre Codes zu sehen Überwachungsdaten mit kleineren Bändern.

gut, wir begonnen, Wir werden den Artikel in mehrere Blöcke unterteilen

  1. zuerst: Wir beginnen mit dem ‚Registrierungsagent‘, nämlich, Wer kann die Zertifikate anfordern und signieren, die wir für unsere Benutzer generieren müssen?. Wir definieren eine neue benutzerdefinierte Zertifikatvorlage und verwenden diese dann zum Generieren des Zertifikats. Der Inhaber dieses Zertifikats kann Benutzerzertifikate erstellen. Das Zertifikat kann auf dem Benutzer/Computer installiert oder auch auf einer SmartCard platziert werden..
  2. zweite: Anschließend erstellen wir eine Zertifikatsvorlage für unsere Organisation, Anschließend generieren wir daraus die Zertifikate, die für die SmartCards ausgestellt werden.
  3. Dritte: Wir fordern ein Zertifikat im Namen eines anderen Active Directory-Benutzers an.
  4. Zimmer: Und wir haben es getestet! Am Ende werden wir auch ein GPO erstellen, damit der Benutzer die SmartCard entfernt, Ihr Computer ist sofort abgestürzt.

Erstellen eines Registrierungsagentenzertifikats,

ich sagte:, In diesem Abschnitt erfahren Sie, wie wir letztendlich ein Zertifikat erhalten, dass wir damit die Zertifikate generieren können, die wir von unseren Benutzern benötigen. Der Zertifikatsinhaber kann künftig die von uns benötigten Zertifikate anfordern und signieren.

 

Wir öffnen die Zertifikatvorlagenkonsole (certtmpl.msc) und wir duplizieren die Vorlage „Registrierungsagent“,

 

Es werden die Eigenschaften zum Bearbeiten dieser Zertifikatvorlage geöffnet, Tab „Allgemeines“ Wir geben den Anzeigenamen der Vorlage an, Außerdem markieren wir die Option zur Veröffentlichung der Zertifikate im Active Directory. Tab „Kompatibilität“ Wir werden die höchsten Versionen aktivieren und sie an unsere Umgebung anpassen.

 

In der Registerkarte „Bearbeitung der Anfrage“ mark Option ‚Fragen Sie den Benutzer bei der Registrierung‘. In der Registerkarte „Kryptographie“ Wir wechseln den Lieferanten zu „Legacy-Krypto-Dienstleister“ und „Microsoft Base Cryptographic Provider v 1.0“.

 

Und in der Registerkarte „Sicherheit“ Wir stellen sicher, dass der Benutzer oder die Gruppe, dem wir die Generierung der Zertifikate erlauben, über die entsprechenden Berechtigungen verfügt ‚lesen‘ und ‚Schreiben‘.

 

Über die Verwaltungskonsole der Zertifizierungsstelle (certsrv.msc) Wir werden die soeben erstellte Vorlage veröffentlichen, damit es genutzt werden kann. Aus Zertifikatvorlagen > neu > Zertifikatsvorlage zur Ausgabe.

 

Wir wählen die Vorlage aus, die wir gerade erstellt haben, und klicken auf „akzeptieren“,

 

ich hatte, Jetzt, da die Zertifikatvorlage vorhanden ist, das heißt, Es wird im Active Directory veröffentlicht, Wir können nun das benötigte Zertifikat für den Zertifikatsagenten anfordern. dies zu tun, Wir öffnen die Benutzerzertifikat-Verwaltungskonsole (certmgr.msc), und von Persönlich > Alle Aufgaben > Sie beantragen ein neues Zertifikat…

 

„folgende“,

 

wählen „Active Directory-Registrierungsrichtlinie“ & „folgende“,

 

Nun wählen wir aus, aus welcher Vorlage wir das Zertifikat anfordern möchten, nämlich, Welche Art von Zertifikat benötigen wir?, Wir wählen unsere aus & „folgende“,

 

bereit! Wir haben bereits das Zertifikat für unseren Benutzer, Damit können wir nun Zertifikate für unsere Endbenutzer erstellen. Wenn Sie auf „Details“ > „Zertifikat anzeigen“ Wir können darauf zugreifen, es in PFX exportieren und es überall hin mitnehmen, wo wir es brauchen.

 

Erstellen der Zertifikatsvorlage zur Ausstellung auf SmartCards,

Wie wir bereits sagten, Nun ist es notwendig, eine Zertifikatsvorlage in unserem Active Directory zu erstellen, um Zertifikate auf unsere SmartCards bzw. Smartcards ausstellen zu können. Dies ist der letzte Schritt, bevor wir tun können, was wir wollen, Zertifikate erstellen!

 

Wir öffnen die Zertifikatvorlagenkonsole (certtmpl.msc) und wir duplizieren die Vorlage „Smartcard-Benutzer“,

 

Es werden die Eigenschaften zum Bearbeiten dieser Zertifikatvorlage geöffnet, Tab „Allgemeines“ Wir geben den Anzeigenamen der Vorlage an, Außerdem markieren wir die Option zur Veröffentlichung der Zertifikate im Active Directory. Tab „Kompatibilität“ Wir werden die höchsten Versionen aktivieren und sie an unsere Umgebung anpassen.

 

In der Registerkarte „Bearbeitung der Anfrage“ Wir werden die Optionen markieren ‚Erlauben Sie den Export des privaten Schlüssels‘, ‚Für die automatische Erneuerung von Smart-Zertifikaten verwenden Sie den vorhandenen Schlüssel, wenn kein neuer Schlüssel erstellt werden kann‘ und ‚Fragen Sie den Benutzer bei der Registrierung‘.

 

In der Registerkarte „Sicherheit“, wir hinzufügen „Domänenbenutzer“ Wer muss über Leseberechtigungen verfügen?, Registrierung und automatische Registrierung. Tab „Ausstellungsvoraussetzungen“ wir werden markieren 1 die Namen autorisierter Firmen, Wir werden das auswählen ‚Bewerbungsrichtlinien‘ für die Unterschrift und als Anwendungsanweisung geben wir an ‚Zertifikatsanforderungsagent‘.

 

Und jetzt zum Schluss, über die Verwaltungskonsole der Zertifizierungsstelle (certsrv.msc) Wir werden die soeben erstellte Vorlage veröffentlichen, damit sie verwendet werden kann. Aus Zertifikatvorlagen > neu > Zertifikatsvorlage zur Ausgabe.

 

Wir wählen die gerade erstellte Vorlage aus und veröffentlichen sie!

 

Erstellen von SmartCard-Zertifikaten im Namen eines anderen Benutzers,

Und wir schließen mit einer Aufgabe ab, die vielleicht schon eine gemeinsame Aufgabe ist, Das ist nichts anderes als die Notwendigkeit, dass wir Zertifikate für unsere Benutzer erstellen müssen.

 

gut, Wir öffnen unsere Benutzerzertifikatskonsole (certmgr.msc), und von Persönlich > Zertifikate > Alle Aufgaben > Erweiterte Operationen > Registrieren Sie sich im Namen von…

 

„folgende“,

wählen „Active Directory-Registrierungsrichtlinie“ und „folgende“,

 

Es fragt uns nach dem Zertifikat, um die Zertifikatsanforderung zu signieren, Wir müssen es zuvor auf der Maschine installiert haben (oder auf einer SmartCard haben), klicken Sie auf „prüfen“,

 

Wir geben das Zertifikat ein…

Und weiter geht es mit dem Assistenten, klicken Sie auf „folgende“,

Wir müssen die Vorlage auswählen, die wir zum Erstellen des Zertifikats verwenden möchten, nämlich, die Art des Zertifikats, Also markieren wir unsere und machen weiter, „folgende“,

Vom Knopf „prüfen…“ Wir können in unserem Active Directory nach dem Benutzer suchen, den wir benötigen, zu dem wir das Zertifikat generieren werden. klicken Sie auf „inscribe“,

und nichts, Wir können weiterhin andere Zertifikate für andere Benutzer anfordern, Oder exportieren Sie zunächst das für uns erstellte Zertifikat im PFX-Format und importieren Sie es anschließend in die SmartCard.

 

Zertifikat auf der SmartCard installieren und testen!

Es ist an der Zeit, das Zertifikat, das das Active Directory für uns generiert hat, auf der Smartcard oder SmartCard zu speichern.

In meinem speziellen Fall verwende ich den FNMT Certificate Importer, eine Software, die Sie können herunterladen, und falls jemand Zweifel hat, ja, Auf eine Karte kann man mehr als legen 1 bescheinigt, Sie können das Zertifikat anderer AD-Benutzer eingeben, als Ihr Benutzer mit Administratorrechten, oder andere wie die eines Unternehmensvertreters, natürlich das der FNMT…

jetzt, auf jedem Windows-Computer 10, Windows 11 dass wir in der Domäne haben, Für den Zugriff müssen Sie lediglich die Smartcard in den Kartenleser einführen und die Karten-PIN eingeben. In den Anmeldeoptionen sehen wir das mittlere Symbol, wenn ein gültiges Zertifikat für die Anmeldung erkannt wird., Wenn wir andere Zertifikate hätten, würden mehr dieser Symbole erscheinen.

Wir können sie auch verwenden, wenn wir uns über Remotedesktop mit unseren Servern verbinden,

Und eine sehr wichtige Sache, Wenn wir möchten, dass die Sitzung des Benutzers blockiert wird, sobald die Karte aus dem Gerät entfernt wird, Wir können ein GPO erstellen, wo wir wollen 2 Sachen, (ich) in Richtlinien angeben > Windows-Einstellungen > Sicherheitseinstellungen > Lokalpolitik > Sicherheitsoptionen > Interaktive Anmeldung > Wir werden die Richtlinie aktivieren ‚Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards“, in diesem Fall angeben ‚Sperren Sie den Arbeitsplatz‘, Wir haben andere Optionen wie das Abmelden… und (ii) Wir müssen berücksichtigen, dass der Service „Richtlinie zum Entfernen von Smartcards“ sollte sein wie ‚automatisch ‚e ‚initiiert‘, also im selben Gruppenrichtlinienobjekt, das wir in den Einstellungen auf unsere Teams anwenden werden > Systemsteuerungseinstellungen > Dienstleistungen > Wir fügen es hinzu und geben diese Konfigurationen an.

Und damit ist es fertig! Wir können jetzt so viele Zertifikate generieren, wie wir benötigen, Speichern Sie sie auf unseren Smartcards und personalisieren Sie sie sogar, um ihnen eine geschäftliche Note zu verleihen! wie immer, Ich hoffe, dass jemand Interesse daran hat und es nützlich findet. Dies ist eine Möglichkeit, unsere Organisation zu schützen und den Zugriff ohne Passwörter zu verhindern, ni-Token…

Eine Umarmung!

Hector Herrero
Letzte Artikel von Hector Herrero (Alle anzeigen)