问用于共享工作站的Windows SmartCard

EN

你考虑过生物识别技术吗？指纹阅读器通常允许每个用户帐户上有5个或10个指纹(每个手指一个)，或者理论上，一个用户帐户上有5-10个指纹(只需扫描每个人的手指到不同的位置)。

如果它是在一个工业地点，这是行不通的-读者会变得脏，手指脏，污垢，灰尘，所有这些都不利于生物识别。这也不完全是万无一失的(有一个伟大的神话破坏者的插曲)，但它应该让诚实的用户。

我还在TradeLink看到了一个很棒的系统(可惜没有阻止他们把我们的订单搞砸)。

他们有太阳薄客户和智能卡。每次他们从桌子上跳起来，带着他们的卡片，会议就会锁定。把它放回去，会话就没锁了。

当然，作为瘦客户端，这意味着它依赖终端服务器，我猜，考虑到设备的敏感特性，这是不切实际的，但如果它存在于瘦客户端级别，我肯定也会有一个与传统桌面兼容的产品。

如果您想要将此系统更新为更新版本的Windows，请查看Technet文档中的智能卡组策略和注册表设置。

Windows 7提供的智能卡移除政策服务将为您提供所需的开箱即用的锁定/解锁功能。你所要做的就是配置它。

对于较早的Windows版本，您需要附加软件来完成锁定/解锁。市场上有各种接近锁定/解锁/登录解决方案，主要使用RFID密钥。

我实际上已经实现了这一点，并在SmartCard身份验证方面进行了广泛的测试。在Sam指向Microsoft KB的文章：http://support.microsoft.com/kb/281245的链接中，有一些暗示它检查的内容以及它是如何工作的。

使用SmartCard证书时，大多数情况下，附加到SmartCard的证书是在卡上生成的，因此无法导出私钥。因此，在多张卡上使用相同的证书可能不起作用，除非它是在卡之外生成的，然后导入。并不是所有的卡片都允许这样输入钥匙。但是，您可以发出多个登录到同一个帐户的证书。您只需确保所有证书上的UPN匹配，即使证书不是相同的。

通过经验和一些technet/MSDN文章，检查以下内容，以确定它们是否真正允许基于SmartCard提供的证书进行访问：

1. 认证SmartCard登录的颁发CA可信吗？
2. 颁发的CA证书有效吗(未过期，未撤销)？
3. SmartCard证书是由可信和有效的CA颁发的吗？
4. SmartCard证书是否有效(未过期，未撤销)？
5. 证书SubjAltName上的用户主体名称与Active中的用户主体名称匹配吗？示例: joesmith@ADDomain.com
6. 是否可以按照智能卡证书和CA中指定的方式积极检索证书吊销列表以确认吊销状态？
7. SmartCard证书是否具有SmartCard登录的密钥用法？

一旦上述所有内容都为真，SmartCard身份验证就会成功。

甚至可以使用一个SmartCard对不相关或不受信任的域进行身份验证。例如，如果向具有john.doe@domainA.com的SmartCard登录名的用户颁发了john.doe@domainA.com的SmartCard登录证书；John甚至可以作为Jane Smith登录到domainB.com，只要颁发CA的CA被正确导入domainB的AD以供SmartCard发布，并且Jane Smith的帐户被设置为能够使用john.doe@domainA.com登录。

重要的是要注意的是，在Windows2000之前的登录格式:域\用户名不用于验证SmartCard证书。因此，您可以将Windows 2000之前的登录设置为一件事，而UPN设置为另一件事。

最后，由于上述含义，在较高的安全设置中，CA的实践非常重要，因为如果CA不受控制，伪造身份验证就很容易。正如您可以想象的那样，不验证那些请求证书的人的身份的CA可以发出重复的证书，允许其他人模拟特定的个人。