•智能卡临时异常。 智能卡临时异常组包含需要智能卡要求出现临时异常的用户,例如,当智能卡丢失之后或忘记智能卡时。
•智能卡永久异常。 智能卡永久异常组包括需要智能卡登录要求出现永久异常的帐户。
您的 VPN 解决方案将至少需要注册代理和智能卡用户组。 创建这些组使您能够更容易地管理和配置多个用户。
登记站和注册代理
可使用基于 Web 的界面为用户颁发或注册智能卡,但不建议采用这种方法。 因为用户必须输入其用户名和密码才能获取智能卡,这种方法有效地将智能卡的安全级别降至与向 Web 界面显示凭据相同的级别。 更好的解决方案是创建登记站并指定一个或多个管理员为注册代理。
典型的登记站是连接了智能卡读卡器和智能卡写入器的计算机。 读卡器使登记站登录,而写入器颁发新智能卡给用户。 注册代理一删除其智能卡,登记站的“组策略”设置便强制注销。
指定的管理员承担起注册代理的角色并使用其智能卡登录到登记站。 然后打开“证书服务”网页,验证用户的身份,注册用户并颁发已注册的智能卡。 注册代理需要注册代理证书,且必须有权限访问证书模板。
操作注意事项
智能卡 VPN 解决方案必须解决如何监视解决方案的操作状态这个问题。 监视工具必须显示您需要提供操作支持的必需信息。 如果解决方案没有满足这个要求,安全人员就无法确定解决方案是否有效地保持安全远程访问连接。
操作注意事项包括:
•测试对内部应用程序的身份验证。 智能卡应仅影响初始登录。 先导程序应测试并验证对内部应用程序的成功身份验证。
•解决远程客户端问题。 为成功地解决问题,客户端问题可要求分布在不同时区的多个小组紧密合作。 严格的测试和正确的先导部署有助于减少支持电话。
•了解组织远程访问方案和威胁。 您必须了解您的组织的远程访问方案和安全威胁以及二者之间的平衡。 您必须将最需要保护的资产排出优先等级并在成本和风险之间找到最佳平衡点。
•预测技术难题。 您应预测技术难题,如安装例程和智能卡管理工具的分发。 您可能需要将智能卡解决方案集成到现有的企业管理工具中。
•监视和管理性能问题。 您必须监视和管理性能问题,并在部署前设置用户的期望值。
•考虑个人资产。 记住员工的家庭计算机是他们的个人财产,不在组织的 IT 部门管理之下。 如果员工无法安装硬件和软件以支持智能卡保护的远程访问,可使用其他选项。 例如,Microsoft Outlook® Web Access (OWA) 通过加密的安全套接字层 (SSL) 连接可为员工提供访问 Microsoft Exchange Server 邮箱的权限。
有关电子邮件安全性的更多信息,请参阅本系列中的“如何保护管制行业中的电子邮件机密性”文章(可能为英文),网址为 http://go.microsoft.com/fwlink/?LinkId=71176。
•管理对解决方案进行的更改。 您必须通过类似于初始部署所要求的那些步骤来管理对解决方案进行的任何更改和增强。
•优化解决方案。 智能卡解决方案的各个方面均要求定期审核和优化。 您必须定期审核注册过程和帐户异常需要,目的是为了提高安全性和完整性。
