Logins de SmartCard no Active Directory

Impressão amigável, PDF & Email

Olá a todos! Depois do período de inverno e do descanso que costumo usar para recuperar forças… Estamos de volta com muitos postos na calha e muita vontade de lutar!!! Hoje começamos com o uso de SmartCard ou cartões inteligentes em nossa organização, para permitir que os usuários se validem, ¡Início!

Neste post vamos tentar ver o quão conveniente o uso de SmartCards ou cartões inteligentes pode ser em nossas organizações, poder utilizar um cartão que lhes permita validarem-se nos serviços de que necessitam. Neste primeiro post vamos ver tudo o que você precisa no Ative Directory para poder emitir esses certificados, bem como para se validar em suas estações de trabalho ou por área de trabalho remota.

Mas também pretendo trazer essa tecnologia para vocês, isso além de nos fornecer uma camada mais segura para autenticações, (E estamos no controle), Bem, é algo acessível. Isso é, que podemos comprar pacotes de cartões criptográficos brancos para nós mesmos com um leitor de cartões para poder inserir os certificados que geramos em nosso Ative Directory. Se tiver alguma dúvida, no FNMT você pode comprar o que precisa, ou em outros lugares, é claro.

E para a "imprensa"’ do desenho ou modelo, bem, Como imaginamos, Podiam ser comprados online e chegar já impressos com os nossos desenhos, ou podemos comprar uma impressora de recibos de autocolantes, qualidade, a cores, sem cartuchos… que podemos usar para imprimir as etiquetas e colá-las facilmente. Não anunciar, mas no caso de alguém ser guiado, eu uso um Brother VC-500W para este que tem uma fita de 5 cm de largura, ideal para estas tarefas. Também o utilizo para imprimir os códigos QR que envio aos clientes que precisam dele para ver os seus Dados de monitorização com fitas menores.

Poço, Começou, Vamos dividir o artigo em vários blocos

  1. Primeiro: Começamos com o 'Agente de Inscrição', Isso é, quem poderá solicitar e assinar os certificados que precisaremos gerar para nossos usuários. Vamos definir um novo modelo de certificado personalizado e, em seguida, usá-lo para gerar o certificado. O titular deste certificado poderá criar os certificados dos utilizadores. O certificado pode ser instalado no usuário/computador ou também pode ser colocado em um SmartCard.
  2. Segundo: Em seguida, criaremos um modelo de certificado para nossa organização, em seguida, vamos usá-lo para gerar os certificados que serão emitidos para os SmartCards.
  3. Terceiro: Solicitar um certificado em nome de outro usuário do Ative Directory.
  4. Quarto: E nós tentamos! No final, também criaremos um GPO para que quando o usuário extrair o SmartCard, o seu computador falha imediatamente.

Criando um certificado de agente de inscrição,

O que eu disse, Nesta seção, veremos como finalmente obteremos um certificado, que com ele seremos capazes de gerar os certificados que precisaremos de nossos usuários. O titular do certificado poderá solicitar e assinar os certificados de que necessitaremos no futuro.

 

Abra o Console de Modelo de Certificado (certtmpl.msc) e duplicámos a força de trabalho “Agente de Inscrição”,

 

Ele abrirá as propriedades para editar esse modelo de certificado, no “Geral” indicamos o Nome de Exibição do modelo, bem como marque a opção para publicar os certificados no Ative Directory. No “Compatibilidade” Vamos habilitar as versões mais altas, adaptando-as ao nosso ambiente.

 

No “Tratamento do pedido” marcaremos a opção 'Pergunte ao usuário durante o registro'. No “Criptografia” Mudamos o fornecedor para “Provedor de serviços de criptografia legado” e “Microsoft base Cryptographic Provider v 1.0”.

 

E no “Segurança” certificamo-nos de que o utilizador ou grupo que vamos permitir gerar os certificados tem as permissões para 'Ler’ e 'Escrever'.

 

No Console de Gerenciamento da CA (certsrv.msc) Publicaremos o modelo que acabamos de criar, a utilizar. Dos modelos de certificado > Novo > Modelo de certificado a emitir.

 

Selecione o modelo que acabamos de criar e clique em “Aceitar”,

 

Nien, Agora que o modelo de certificado existe, Isto é, é publicado no Ative Directory, agora poderemos solicitar o certificado necessário para o Agente de Certificação. Para fazer isso,, Abrimos o console de gerenciamento de certificados do usuário (certmgr.msc), e de Pessoal > Todas as tarefas > Você solicita um novo certificado…

 

“Seguinte”,

 

Selecionar “Política de Inscrição do Ative Directory” & “Seguinte”,

 

Agora selecionamos a partir de qual modelo vamos solicitar o certificado, Isso é, Que tipo de certificado precisaremos, Nós selecionamos o nosso & “Seguinte”,

 

Pronto! Já temos o certificado para o nosso utilizador, Poderemos criar certificados para os nossos utilizadores finais com ele. Se clicarmos em “Detalhes” > “Ver certificado” poderemos acessá-lo e exportá-lo em PFX e levá-lo para onde precisarmos.

 

Criando o modelo de certificado a ser emitido para SmartCards,

Como dissemos anteriormente, agora será necessário criar um modelo de certificado em nosso Ative Directory para emitir certificados para nossos SmartCards ou cartões inteligentes. Este já é o último passo antes de podermos fazer o que queremos, Criar certificados!

 

Abra o Console de Modelo de Certificado (certtmpl.msc) e duplicámos a força de trabalho “Utilizador de Smart Card”,

 

Ele abrirá as propriedades para editar esse modelo de certificado, no “Geral” indicamos o Nome de Exibição do modelo, bem como marque a opção para publicar os certificados no Ative Directory. No “Compatibilidade” Vamos habilitar as versões mais altas, adaptando-as ao nosso ambiente.

 

No “Tratamento do pedido” vamos verificar as opções de 'Permitir que a chave privada seja exportada', «Para a renovação automática de certificados inteligentes, utilize a chave existente se não for possível criar uma nova chave’ e 'Pergunte ao utilizador durante o registo'.

 

No “Segurança”, Adicionar “Utilizadores do Domínio” quem deve ter permissões de Leitura, Inscrever-se & Inscrever-se automaticamente. No “Requisitos de emissão” Vamos discar 1 o nome das assinaturas autorizadas, selecione a opção «Política de execução»’ para assinatura e como política de aplicação, indicamos 'Agente de Solicitação de Certificado'.

 

E agora para terminar, a partir da consola de gestão da AC (certsrv.msc) Publicaremos o modelo que acabamos de criar para ser usado. Dos modelos de certificado > Novo > Modelo de certificado a emitir.

 

Selecionamos o modelo que acabamos de criar e o publicamos!

 

Criando certificados SmartCard em nome de outro usuário,

E acabamos com o que já pode ser uma tarefa comum, que nada mais é do que a necessidade de termos que criar certificados para nossos usuários.

 

Nada mau, Abrimos a nossa Consola de Certificados de Utilizador (certmgr.msc), e de Pessoal > Certificados > Todas as tarefas > Operações Avançadas > Inscrever-se em nome de…

 

“Seguinte”,

Selecionar “Política de Inscrição do Ative Directory” e “Seguinte”,

 

Peça-nos o certificado para assinar o pedido de certificado, teremos que tê-lo previamente instalado na máquina (ou tê-lo em um SmartCard), Clique em “Examinar”,

 

Inserimos o certificado…

E continuamos com o assistente, Clique em “Seguinte”,

Devemos selecionar o modelo que usaremos para criar o certificado, Isso é, O tipo de certificado, Por isso, marcamos o nosso e continuamos, “Seguinte”,

Da seringa “Examinar…” seremos capazes de procurar o usuário do nosso Ative Directory que precisamos, para quem vamos gerar o certificado. Clique em “Inscrever-se”,

E nada, Podemos continuar a solicitar outros certificados para outros usuários, ou antes de exportar o certificado que gerou no formato PFX e, em seguida, importá-lo para o SmartCard.

 

Instalar o certificado no SmartCard e testá-lo!

É hora de salvar o certificado gerado pelo Ative Directory no cartão inteligente ou SmartCard.

No meu caso particular, utilizo o FNMT Certificate Importer, que é um software que permite Você pode baixar, E caso alguém tenha dúvidas, Sim, Você pode colocar mais de 1 certificado, você poderá inserir o certificado de outros usuários do AD, como seu usuário com privilégios administrativos, ou outros, como o de representante de uma empresa, a do FNMT, evidentemente…

Agora, em qualquer computador Windows 10, Windows 11 que temos no controlo, será tão simples como inserir o cartão inteligente no leitor de cartões e introduzir o PIN do cartão para aceder. Em Opções de Login, veremos o ícone do meio quando um certificado válido for detetado para fazer login, Se tivéssemos outros certificados, mais ícones sairiam desses.

Também podemos usá-los ao conectar via Área de Trabalho Remota aos nossos servidores,

E uma coisa muito importante, se quisermos que o cartão seja bloqueado do utilizador assim que o cartão for removido do dispositivo, podemos criar um GPO onde iremos 2 coisas, (eu) indicar em Políticas > Configurações do Windows > Configurações de Segurança > Diretivas locais > Opções de Segurança > Login interativo > Ativaremos a política de 'Login interativo': Comportamento de remoção de cartão inteligente”, indicando, neste caso, «Bloquear o posto de trabalho», Temos outras opções, como sair… E (Ii) devemos ter em conta que o serviço “Política de remoção de cartões inteligentes” deve ser como 'Automático' e 'Iniciado', portanto, no mesmo GPO que aplicaremos às nossas equipes em Preferências > Configurando o Painel de Controle > Serviços > Adicionamos e indicamos estas configurações.

E com isso pronto! Seremos capazes de gerar quantos certificados precisarmos, gravá-los em nossos cartões inteligentes e até mesmo personalizá-los e dar-lhes um toque corporativo! Como de costume, Espero que alguma alma possa estar interessada e que isso possa ser bom para eles. É uma forma de proteger a nossa organização e remover o acesso sem palavra-passe, Nem fichas…

Um abraço!

Postagens recomendadas

VPN com Citrix NetScaler III - Autenticação com certificados
Ler
Implementando a LAPS do Windows
Ler
VPN com Citrix NetScaler II - Exigir certificados para acessar
Ler
Implementando FSSOs para integrar o Fortigate com o Active Directory
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Servidor de salto

17 Outubro 2023

Notável 2: Hacks & Servidor próprio

30 de Janeiro 2024