Buenas prácticas para proteger un certificado de máquina contra la extracción

3

Considere el siguiente escenario:

  • Está proporcionando acceso VPN para una serie de máquinas que ejecutan Windows 10.
  • Las máquinas están configuradas y reforzadas de acuerdo con los estándares de la compañía.
  • Confía en los certificados de máquina para la autenticación a la puerta de enlace VPN.
  • Desea evitar que los usuarios (o alguien que se haga pasar por un usuario legítimo) extraigan el certificado (y la clave privada) de sus máquinas y lo transfieran a otra máquina.
  • Algunos de sus usuarios necesitan tener un nivel de permisos suficiente para extraer un certificado de archivo plano / par de claves de la máquina.

¿Cuáles son las buenas prácticas para evitar la extracción de credenciales de la máquina? Enfoques que vienen a la mente:

  • Usa el TPM para el almacenamiento de claves. Preguntas aquí: ¿Windows admite el uso del TPM como un almacén de claves? ¿Cuánto costaría transferir el hardware de TPM a una máquina diferente?
  • Use un token USB para el almacenamiento de claves. Pregunta aquí: los tokens están diseñados para ser conectables; ¿Existe una forma efectiva de evitar que se utilice en otra máquina?
pregunta user149408 13.08.2018 - 10:47
fuente

1 respuesta

0
  

Desea evitar que los usuarios (o alguien que se haga pasar por un usuario legítimo) extraiga el certificado (y la clave privada) de sus máquinas

Debes usar una tarjeta inteligente

La clave privada es generada por la tarjeta inteligente y nunca puede abandonar la tarjeta inteligente (no hay API para "extraerla"). El cifrado, el descifrado y la firma se realizan mediante el chip en la tarjeta inteligente

  

los tokens están diseñados para ser conectables; ¿Existe una forma efectiva de evitar que se utilice en otra máquina?

Si los escritorios de la vieja escuela son una opción, entonces simplemente bloquea la computadora en un estuche

  

Algunos de sus usuarios necesitan tener un nivel de permisos suficiente para extraer un certificado de archivo plano / par de claves de la máquina

¿Por qué?

    
respondido por el Neil McGuigan 13.08.2018 - 19:28
fuente

Lea otras preguntas en las etiquetas