Configuración de computadoras portátiles con Windows para requerir una tarjeta inteligente para desbloquear

5

Estoy buscando detalles sobre cómo proteger una computadora portátil con Windows con tarjetas inteligentes.

El escenario es que tenemos computadoras portátiles en vehículos, que se conectan de forma remota (a través de https) a un servidor de aplicaciones a través de Internet. Las aplicaciones de programación y pago se ejecutan en la computadora portátil. El operador a menudo está lejos del vehículo cuando realiza trabajos en la ubicación de un cliente.

Para usar el sistema, el operador debe insertar su tarjeta inteligente en el lector de la computadora portátil. Esto debería desbloquear el portátil. Quiero que el servidor de aplicaciones tenga certificados del lado del cliente que de alguna manera se almacenan (o activan) utilizando la tarjeta inteligente. Por lo tanto, si el vehículo / computadora portátil es robado o comprometido, el ladrón no puede acceder al servidor sin la tarjeta inteligente.

Ciertamente, podemos desactivar la cuenta de usuario / revocar el certificado después de descubrir que la computadora portátil ha sido robada, pero es el tiempo intermedio en el que es posible el acceso no autorizado.

En un mundo ideal, me encantarían las tarjetas inteligentes inalámbricas (¿bluetooth?), por lo que el operador no tiene que insertar ninguna tarjeta, solo estar cerca. (como esto: Blackberry + RIM Lector de tarjetas inteligentes basado en Bluetooth )

    
pregunta Matt 23.03.2013 - 02:32
fuente

1 respuesta

8

Suponiendo que las computadoras portátiles se ejecuten en Windows, necesitaría lo siguiente:

  • una solución PKI para inicializar y administrar tarjetas inteligentes; cada tarjeta inteligente contendrá una clave privada y el certificado asociado;

  • para habilitar inicio de sesión con tarjeta inteligente para que los usuarios abran una sesión en la computadora portátil con la tarjeta inteligente, en lugar de una contraseña (la tarjeta inteligente en sí requerirá el ingreso de un código PIN);

  • para establecer una política local que bloquea la computadora portátil cuando se retira la tarjeta (ese es fácil);

  • para activar la autenticación de cliente basada en certificados en el servidor HTTPS (consulte this si el servidor es IIS).

He hecho todo esto con ese tipo de tarjetas ; vienen en varios factores de forma, incluso como "llaves USB" (en realidad, lectores de tarjetas inteligentes con una tarjeta inteligente integrada), que son convenientes ya que todas las computadoras portátiles tienen puertos USB. El mayor costo es el PKI; no es realmente el software, especialmente porque hay PKI gratuito (y querrá echar un vistazo a esto , por cierto). El 95% de PKI son procedimientos , es decir, personas que pasan un tiempo haciendo cosas y comprobando que lo hicieron bien y auditando que otras personas hicieron las cosas bien.

    
respondido por el Thomas Pornin 23.03.2013 - 03:10
fuente

Lea otras preguntas en las etiquetas