Дякую вам за підтримку!
Будинки і на роботі при використанні поштових програм та доступ до корпоративних ресурсів нам доводиться користуватися паролями. Найчастіше паролі для різних програм і ресурсів розрізняються, і необхідно запам'ятовувати безліч непростих символьних сполучень або записувати їх на папері, що явно не рекомендується службами безпеки вашої компанії. У меншій мірі це відноситься до використання комп'ютера вдома, але і тут буває необхідно захистити певні ресурси і програми від доступу.
Токен як додатковий пристрій не може бути пізнаний операційною системою, оскільки він не є стандартним обладнанням. Неможлива і установка токена допомогою inf-файлу, оскільки для коректної установки потрібно вимір деяких параметрів для автоматичної конфігурації драйвера. Тому доводиться для установки використовувати спеціальне програмне забезпечення. І ось що ще слід пам'ятати. Уникайте використання токен до комп'ютера до того, як ви встановите драйвер. Якщо все ж підключення буде виконано раніше, зупиніть роботу стандартного майстра установки USB-пристроїв, витягніть ключ з порту і встановіть драйвер. Крім драйверів в процесі інсталяції на диск будуть скопійовані і утиліти для роботи з токеном (утиліта адміністрування і браузер сертифікатів). Кількість одночасно використовуваних токенов залежить від операційної системи і кількості USB-портів.
Електронний ідентифікатор Rutoken - персональне засіб аутентифікації і зберігання даних (сертифікатів в даному випадку). У ньому є апаратна реалізація українського стандарту шифрування. Цей токен також сумісний і з сертифікованими українськими криптопровайдерами від компаній "Кріпто-Про", "Анкад", "Сигнал-Ком".
Перш ніж приступити до налаштування корпоративної мережі та її ресурсів для роботи з токенами і цифровими сертифікатами, пропоную провести невелике тестування цього продукту, для чого отримати електронний сертифікат і підключити його для роботи з поштою, наприклад з поштовим клієнтом The Bat.
Знову ж таки, щоб не розгортати в своїй мережі служби сертифікації (їх можна розгорнути тільки на серверних платформах), можна скористатися послугами тестових центрів, що засвідчують, наприклад тестовим центром сертифікації "Кріпто-Про" або тестовим центром сертифікації e-Notary компанії "Сигнал-Ком" . Якщо ви вибрали останній, вам буде запропоновано спочатку познайомитися з "Угодою на виготовлення тестових сертифікатів підтверджуючий центр e-Notary". У разі згоди буде запропоновано вибрати варіант подачі запиту на виготовлення сертифікату: або шляхом передачі файлу з сформованим попередньо запитом, або шляхом генерації ключів і формування запиту вбудованими засобами браузера. Для простоти виберемо другий варіант.
Підключіть до USB-порту ваш токен. Зверніть увагу, що всі токени спочатку мають той самий PIN-код користувача - 12345678. Поки ви займаєтеся тестуванням, цей код можна не міняти, але при організації нормальної роботи краще, якщо ви його замініть, щоб ніхто інший не міг отримати доступ до вашого закритого ключа . (Саме закритий ключ використовується для формування підпису та розшифрування даних.) Для зміни коду скористайтеся програмою адміністрування. З її ж допомогою вашого токені можна привласнити і унікальне ім'я.
Тепер у нас є ключі і сертифікат, за допомогою яких можна підписувати і шифрувати кореспонденцію. Подивимося, як це можна зробити в поштовому клієнті The Bat! (Про використання підпису та шифрування в MS Outlook докладно розказано в документації на даний продукт).
На цьому перевірку роботи з токеном можна вважати завершеною і переходити до налаштування мережі вашої організації і корпоративних додатків. Перше, з чого слід почати, - установка служби сертифікації Microsoft. З її допомогою ви будете виписувати сертифікати співробітникам, зберігати їх на токенах і видавати в роботу. Для зручності можна буде створити шаблони сертифікатів і використовувати їх.
Додаткові настройки потрібні і для створення захищеного підключення до веб-ресурсів організації (в документації наводиться приклад налаштування веб-ресурсу під керуванням IIS), можна налаштувати доступ за сертифікатами до термінального сервера, до мереж VPN. Ступінь захисту доступу в таких випадках істотно зростає.
В основному всі налаштування виконуються адміністратором мережі, настройка робочих місць вимагає значно менших зусиль. Тому впровадження системи апаратної аутентифікації, цифрового підпису та шифрування не становитиме особливих труднощів для співробітників. До того ж невелика і величина витрат по створенню такої системи. Для початку роботи цілком достатньо одного стартового комплекту, що включає посібник з впровадження, утиліти для роботи з токенами, драйвера і власне один електронний ідентифікатор Rutoken. Стартового комплекту досить, для того щоб провести всі необхідні настройки в мережі і підготуватися до переходу від звичайної парольного захисту до надійної двофакторної аутентифікації на основі Rutoken. Для такої міграції потрібно лише придбати необхідну кількість ідентифікаторів Rutoken.