密碼設置是任何作業系統、應用程式以及各類行動裝置最基本的保護措施,但它卻不是最安全與最方便的,而且還可能因忘記密碼而造成帳號被鎖定,畢竟這年頭要需記住的密碼種類還真是不少,如此不僅讓自己頭疼,更是讓系統管理人員整天為這類的雜事忙翻了。
還好!到了 Windows 10 已經完整提供了內建的七種身份識別的驗證技術(包括傳統密碼),重點是這一些驗證技術通通可應用在企業網路的資訊安全管理之中。
首先讓我們先來看看三種身分識別技術,如圖 17 所示您只要在 Window 10 左下角的搜尋窗格之中,輸入 Windows Hello 即可發現顯示了三個身分識別的系統設定功能,分別是指紋登入、虹膜登入以及臉部登入,這種驗證技術皆屬於所謂的「生物辨識」技術,不僅識別速度快與精準,其安全性更遠高於其他三種驗證方法,尤其當中的虹膜辨識。
圖 17 Windows Hello 設定選項
在 Windows 10 系統預設的狀態下,預設已經允許使用者以生物辨識技術方式來登入,但那只是本機系統帳戶的登入,對於網域使用者來說預設則是不允許的,因此網域管理人員需要在群組原則管理中,點選至[電腦設定]\[原則]\[系統管理範本]\[Windows元件]\[生物識別技術]節點頁面,開啟如圖 18 所示的[允許網域使用者使用生物識別登入]原則,然後將該原則設定為[已啟用]即可。
圖 18 生物辨識技術原則設定
另一種類似於傳統密碼的驗證方式,就是 PIN 碼的驗證技術,如圖 19 所示使用這種方式的驗證,即表示只會驗證以數字為組合的密碼,這種做法較常被使用在行動裝置的登入,像是目前人手一機的智慧型手機、平板,目的就是為了簡化登入的方式。
圖 19 PIN 碼驗證
無論是哪一類型身分驗證功能的啟用與設定,都只需要開啟如圖 20 所示的[帳戶]頁面,然後點選至[登入選項]即可開始設定,這包括了要求再度登入的時機。在此無論您要設定[PIN 碼]還是[圖片密碼],系統都會像如圖 21 所示一樣,先詢問目前的使用者密碼,包括當您忘記 PIN 碼或圖片密碼,而需要重新設定的時候。
圖 20 登入選項管理
圖 21 帳戶密碼驗證
如圖 22 所示便是 PIN 碼的設定頁面,輸入的 PIN 碼必須至少四位數,只要兩次輸入皆相同即可完成設定。當啟用 PIN 碼驗證功能之後,登入時若連續多次的 PIN 碼輸入錯誤,將會被要求輸入一組隨機的驗證碼,在通過驗證碼後若仍再次 PIN 碼輸入錯誤,則將會被要求重新啟動電腦。
圖 22 設定 PIN 碼
相較於 PIN 碼的使用,圖片密碼的驗證方式就顯得安全多了,因為不易被有心人士猜測到,而這種驗證技術如今也同樣被廣泛應用在行動裝置的安全登入中。如圖 23 所示便是 Windows 10 開機時的圖片密碼驗證範例,可以發現當從一張相片之中,實在很難讓人想到解密使用的手勢或是正確點選的位置。
圖 23 圖片密碼驗證
如圖 24 所示便是圖片密碼的手勢設定範例,您需要完成兩輪的密碼手勢確認,才能完成圖片密碼驗證功能的啟用。
圖 24 密碼手勢設定
關於智慧卡(Smart Card)的應用,從過去到現今都相當普遍;在企業資訊安全管理中,也有許多 IT部門把它應用在 VPN 網路的身分驗證,甚至於還整合了門禁系統的安全識別機制,讓員工從上班到存取公司的網路資源,皆只需要一張智能卡就能搞掂。
由於智能卡是以數碼憑證作為身份驗證的基礎,搭配一組 PIN 碼來保護智能卡的使用,因此可以解決一般使用者需經常變更傳統密碼的管理問題,人員只要在數碼憑證的年限到期之前,請 IT 部門協助更新憑證即可。接下來就讓我們來實際了解一下如何將智能卡與數碼憑證進行結合,並且將它運用在企業網路的連線安全存取中。首先,我們必須先準備好以下有關伺服端與用戶端的基本作業環境。
• 必須有 Active Directory 網域環境,事實上沒有網域環境也可以進行,不過如此將會有許多管理功能無法運作。
• 完成安裝在網域環境運作下的 CA 憑證授權單位伺服器,建議該主機使用 Windows Server 2012 R2,並且預先安裝好 CA 網站元件。
• 如果需要同時應用在遠端連線登入存取的安全驗證,例如 VPN、WLAN 等網路存取,那麼還必須加裝遠端存取服務的相關元件。
• 用戶端電腦以及管理者準備用來寫入憑證的電腦,必需預先安裝好智能卡讀取器(Smart card Reader)以及相關的驅動程式,當然,目前已有許多的智能卡是直接採用 USB 介面,而無須連接額外的讀卡機。至於所有人員的智能卡,則必須等到每一位使用者各自專屬的憑證寫入之後,才正式發送去給每一位授權的使用者。
接下來網域管理者必須開啟在[伺服器管理員]介面中[工具]選單下的[憑證授權單位]。在[憑證範本]的項目中,將在右手邊的[註冊代理程式]以及[智慧卡登入]的項目啟用。緊接著網域管理者必須透過[憑證]主控台或憑證伺服器的網站連線,來進行[註冊代理程式]憑證的申請安裝。
然後進入到[智慧卡憑證註冊站]的頁面中,在憑證範本的欄位下拉選單中,選取[智慧卡登入]或[智慧卡使用者],以及選取憑證授權單位、密碼編譯服務提供者(必須依照購買卡的類型作選擇)、系統管理簽署憑證。在註冊使用者的項目設定中,您可以點選[選取使用者]按鈕來挑選所要發放智能卡的使用者,最後在確認等待寫入的智能卡已正確安插在本機的 USB 連接埠中之後,點選[註冊]按鈕並且隨後輸入正確的 PIN code,即可完成智能卡憑證的寫入作業。
如圖 25 所示便是成功完成了智能卡憑證的發放,如果您打算繼續發放智能卡憑證給其它使用者,那麼請點選[新增使用者]按鈕來繼續重複剛剛的寫入作業,不過千萬可別忘了更換其它尚未寫入的智能卡裝置。
圖 25 智能卡憑證註冊
如圖 26 所示便是當企業 Windows 10 用戶端電腦,被強制必須使用智能卡來登入時的顯示訊息。當然我們也可以讓智能卡的登入成為一個登入的選項而不是強制性要求。究竟網域管理者要如何來管理 Windows 用戶端,使用智能卡登入公司網路的行為呢?
圖 26 要求智能卡登入
很簡單只要透過[群組原則管理編輯]來將自訂的智能卡原則物件,套用在指定的組織容器,即可讓這些在指定容器中的[電腦]物件,全部受到智能卡原則設定的規範來使用手上的智能卡。如圖 27 所示的便是位在[電腦設定]\[原則]\[Windows設定]\[安全性選項]介面中,所有可以完成的智能卡原則設定項目。
互動式登入-智能卡移除操作:設定使用者一旦在登入後的操作過程中,刻意的將智能卡拔除後(可能是暫時離開座位),所要執行的系統作業,在此您可以選擇讓系統自動登出、進入鎖定工作站的狀態,或者是乾脆維持原狀就好,在這裡建議選擇[鎖定工作站]。
互動式登入-給使用者的訊息本文:想在使用者完成智能卡登入前,留下一段訊息說明讓使用者知道,可以在此輸入詳細敘述。
互動式登入-給使用者的訊息標題:設定訊息視窗的標題文字。
互動式登入-須有智慧卡:強制任何使用者在登入本機時,必須唯一使用智慧卡登入(預設值為已停用),不接受一般帳戶密碼的登入方式。
圖 27 安全性選項原則
如果您不想強制指定組織容器中的所有電腦,使用智能卡來登入網域,您也可以只選擇讓特定的網域使用者在登入時以智能卡來登入網域。做法很簡單,只要在[Active Directory使用者與電腦]的介面,開啟所要設定的網域使用者內容,然後在如圖 28 所示的[帳戶]頁面中,將在[帳戶選項]中的[互動式登入必須使用智慧卡]設定勾選即可。
圖 28 網域帳戶設定
待續…
從傳統密碼到虹膜辨識:Win 10 支援的身分辨識技術有那些?
https://www.facebook.com/hkitblog