Kullanıcı PIN kodunun direk olarak fiziksel bir aygıtın varlığına, yani akıllı kartın kendisine bağımlı oluşu sebebiyle şirket ağları içerisinde oturum açma işlemleri için akıllı kartların kullanımının zorunlu hale getirilmesi, gelişmiş güvenlik ve daha güçlü bir kimlik doğrulama imkanı sunar. Ayrıca akıllı kart uygulaması, VPN (şurada daha önce değindiğime benzer şekilde), uzak masaüstü bağlantıları, dijital imzalama veya yerel şifreleme (~ EFS) gibi birden fazla erişim şekli için aynı aygıt içerisinde birkaç farklı AAA gereksinimini birlikte karşılamanın oldukça fonksiyonel bir yoludur.
Akıllı kart ile kimlik denetimi, kullanıcı kimliğinin geçerliliğini doğrulayabilmek için sertifikalara ihtiyaç duyarken, bu sertifikaların verilmesi işlemleri ve geçerlilikleri ise CA‘ya (Certificate Authority) bağlıdır. Birçok firma, Windows Domain Controller (Aktif Dizin) üzerinde zaten kurulu olan mevcut bir CA servisine sahipken aslında ya bunun farkında değildirler ya da gerçekten kullanmamaktadırlar. Az sayıda çalışanı olan küçük ve orta ölçekli işletmeler için bile sertifikaları 3. parti CA’lerden satın almak çok pahallı olacağı için büyük bir maliyet tasarrufu sağlayarak iç kullanıcılar için sertifika yığınlarını yaratacak olan CA, sözünü etmekte olduğumuz konuda en temel ve önemli servistir.
Diğer taraftan iç CA altyapısı kullanımı, üst ve alt (subordinate) CA’ler firmanın ağ ve veri güvenliği ihtiyaçlarında anahtar rol üstlenecekleri için beraberinde ek yükümlülükler ve ek güvenlik tedbirleri alma konusunda tetikte olma ihtiyacı getirecektir. Öyleyse özel CA entegrasyonlarına paralel olarak CA yönetimi ve akıllı kart kullanımına ilişkin olarak sıkı bir güvenlik politikası konuşlandırmak birincil görevlerden biri olmalıdır. Söz konusu politika, CA’in idaresi, CRL (Certificate Revocation List = Sertifika İptal Listesi) ve CTL (Certificate Trust List = Sertifika Güvenilirlik Listesi) bakımı ve sertifika yenilemeleri konularını olduğu gibi aynı zamanda kaybolan, güvenilirliği riske edilmiş veya çalınmış kartlar gibi fiziksel sorunlara derhal müdahale konularını da kapsamalıdır. Aksi taktirde sertifikaları gelişigüzel yaratarak dağıtma, hiçbir zaman firma güvenliğini artırıcı bir yol olmayacak aksine tam bir hayal kırıklığı yaratacaktır.
Firmaya özel CA altyapısının planlanması ve yapılandırılmasının oldukça geniş bir konu olması ve bu yazının kapsamı dışında yer alması sebebiyle, en azından üzerinde bağımsız bir CA kurulu olan faal Aktif Dizin’in bulunduğu en az bir Windows 2003 veya üzeri sunucunuzun bulunduğunu ve aynı zamanda bir akıllı karta (veya bir USB token) sahip olduğunuzu varsayarak başlığımıza yoğunlaşacağız. Sertifika servisleri konusunda daha detaylı bilgi edinmek istiyorsanız “Aktif Dizin Sertifika Servisleri’nin kurulumu ve konfigürasyonu (Windows Server 2008 R2 üzerinde)” makalemizi incelemenizi tavsiye ederim.
Hali hazırda Windows Sunucu platformları tarafından desteklenmekte olan plug-and-play akıllı kartları seçerek satın almanız uygulama açısından size kolaylık sağlayacaktır. Akıllı karınıza ilişkin aygıt sürücüleri, domain controller sunucunuz ve tüm istemci iş istasyonlarınıza üreticinin PKI yazılımı kurulumu gerçekleştiği sırada otomatik olarak yüklenecektir. Aksi bir durumda üretici firmanın sağlayacağı manüelde belirtilmiş olması gereken özel yönergeleri takip etmeniz gerekir. PKI yazılımının kurulumunu tamamladıktan hemen sonra PKI uygulamasına ilişkin istemci arayüzünü açarak akıllı kartlarınızı formatlayın ve herbirine yeni PIN kodu vererek kartlarınızı oturum açma işlemi için hazır hale getirin.
Şimdi her zamanki gibi domain controller sunucunuza oturum açın ve Start -> Administrative Tools -> Certification Authority menülerini takip ederek Certificate Authority arayüzünü çalıştırın. Sunucu ismi altında yer alan Certificate Templates‘e geçin. Sağ tıklayarak New -> Certificate Template to Issue seçin.
CTRL tuşuna basılı tutarak Enrollment Agent, Smartcard Logon ve Smartcard User şablonlarını topluca seçin ve OK. ile ekleyin.
Enrollment Agent: Bu şablon, bir sunucunun ağa erişecek akıllı kart kullanıcıları adına sertifika yaratabilmesi için kayıt istasyonu olarak hareket etmesine olanak veren sertifikaları oluşturmak için kullanılır.
Smartcard Logon: Bu şablon, istemcilerinizin Active Dizin içerisinde akıllı kart kullanarak kimlik doğrulaması gerçekleştirebilmelerini sağlamak üzere gerekli sertifikaları oluşturmak için kullanılır.
Smartcard User: Bu şablon, Smartcard Logon şablonuna ek olarak Secure Email özelliği sunar.
Üç güvenlik şablonunuz yerlerine yerleştirildiğine göre Active Directory Users and Computers yönetim konsolunu açın ve kayıt (enrollment) rolünden sorumlu olacak yeni bir kullanıcı hesabı yaratın (Bu dökümanda örnek teşkil etmesi için ben “eagent” isminde bir kullanıcı hesabı kullanacağım). Veya isterseniz kayıt işlemlerini üstlenecek mevcut bir kullanıcı hesabını kullanmak üzere hesap açmadan devam edebilirsiniz. Kullanıcı hesabını belirledikten sonra, Start -> Run menülerini kullanarak certtmpl – [Certificate Templates] arayüzünü açmak üzere certtmpl.msc yazın ve OK. butonunu tıklayın. Açılan arayüzde Enrollment Agent şablonunu bulun, üzerine sağ tuşla tıklayarak Properties seçeneğini tıklayarak özelliklerine girin. Security sekmesine gidin, yeni yaratmış olduğunuz kullanıcı hesabını ekleyerek Enroll iznini verin.
Eğer yaratmış olduğunuz yeni kullanıcı hesabınızı Domain Admins Security Grubu‘na dahil ettiyseniz bu izni vermek zorunda değilsiniz çünkü bir domain administrator, Enrollment Agent şablonuna dayalı olarak sertifika talep etme iznine zaten sahiptir.
Şimdi oturumunuzu kapatın ve sertifikaları oluşturacak yeni kullanıcı hesabınızla sunucunuzda tekrar oturum açın.
Start -> Run menülerini kullanarak boş bir MMC konsolu açmak üzere mmc yazın ve OK. butonunu tıklayın. File -> Add/Remove Snap-in… sonra Add, ardından Certificates seçerek Add butonuna tıklayın. My user account opsiyonunu seçin ve Finish butonunu kullanın. Ardından sırasıyla Close ve OK. butonlarına tıklayın.
Certificates – Current User menüsünü genişleterek Personal alt menüsüne geçin ve altında yer alan Certificates üzerinde sağ tıklayarak All tasks -> Request New Certificate… menülerini takip edin.
Hoş geldiniz ekranını geçin ve Enrollment Agent sertifika tipini seçerek Next butonuna tıklayın.
Bir sonraki ekranda “Smart Card Enrollment” benzeri uygun bir isim girin ve sertifika talebinizi tamamlayın. Sihirbazı tamamlamanızın hemen ardından oluşturulan sertifikanın sağ panelde belirdiğini ve kullanım amacının Certificate Request Agent olarak belirtildiğini farkedeceksiniz.
Bir kullanıcı hesabı Enrollment Agent sertifikasına sahip olduğunda kuruluş içerisinde herhangi biri adına sertifika kaydı açabilir ve akıllı kart oluştururabilir. Akabinde bu akıllı kart ağ içerisinde oturum açmak ve gerçek kullanıcıyı temsil etmek için kullanılabilir.
Enrollment Agent sertifikasının ayrıcalıklı yetkileri sebebiyle kuruluş, bu tip sertifikaya sahip kişiler için güçlü güvenlik politikaları yürürlüğe koymalıdır. Enrollment Agent sertifikası suiistimallerine ilişkin potansiyel riskleri minimize etmek için uygulanabilecek metodoloji, katı yönetimsel kontroller eşliğinde sadece Enrollment Agent sertifikası yayımlamak için kullanılacak bir alt (subordinate) CA konuşlandırmak olabilir.
Enrollment Agent sertifikasını çıkarttıktan ve akıllı kart okuyucularınızı tüm iş istasyonlarına kurduktan sonra akıllı kart sertifikalarını yayımlama işleminin zamanı gelmiş olacaktır. İstemci bir makinada kendisine yukarıda Enrollment Agent sertifikası atanmış kullanıcı hesabınızla oturum açın ya da CA sunucunuzun konsolunda kalın ve bir Internet Explorer tarayıcı açın. http://ca-sunucunuz/certsrv/ adresine gidin ve sorulduğunda hesap erişim bilgilerinizi girin.
“Request a certificate” linikini tıklayın.
“submit an advanced certificate request” linkini tıklayın.
“Request a certificate for a smart card on behalf of another user by using the smart card certificate enrollment station.” linkini tıklayın ancak öncesinde Tools -> Internet Options -> Security -> Custom Level menülerini takip ederek gerekli tüm activex kontrollerini seçerek etkin kıldığınızdan emin olun. Aksi taktirde tarayıcınız CA sistemi ile iletişime geçemeyebilir, CSP listesini, sertifika şablon listesini ve CA listesini alamayabilir ve bu nedenle hatalı bir sayfa ile karşılaşabilirsiniz.
Final ekranında Certificate Template için Smartcard Logon şablonunu ve açılan Certificate Authority menüsünde etki alanınıza ait CA’nizin ismini seçin. Cryptographic Service Provider menüsünde ise akıllı kartınızın üreticisini bularak seçin. Administrator Signing Certificate bölümü, Enrollment Agent sertifikasının verildiği kullanıcı hesabını otomatik olarak gösterecektir. Akıllı kart sertifikasını ilişkilendireceğiniz kullanıcı hesabını seçmek üzere Select User butonunu kullanın.
Sonunda formun altında “Please insert the user’s smart card into a reader and then press ‘Enroll’.” ibaresinin belirdiğini farkedeceksiniz. Sisteme bağlı akıllı kart okuyucunuza kartınızı takın ve Enroll butonuna tıklayın.
Akıllı kartınızın PIN kodunu girmeniz istenecek. Kodu girdikten sonra anahtarların oluşturulmasını bekleyin.
Eğer Enrollment Agent sertifikasına sahip kullanıcı hesabınız aynı zamanda Remote Desktop Security Grubu’na da dahil ise bu kayıt işlemlerini uzak masaüstü bağlantısı ile de gerçekleştirebilirsiniz.
Oturum açma için akıllı kart kullanımı tüm kuruluş bünyesinde istisnasız bir zorunluluk haline getirilmediği sürece hedeflenen güvenlik seviyesini sunmayacaktır. Bunu sağlayabilmek için Active Directory Users and Computers yönetim konsolunu açın ve kullanıcı hesap özellikleri içerisinde bulunan Account sekmesi altında göreceğiniz Account Options bölümündeki “Smart card is required for interactive logon” opsiyonunu işaretleyin. Bu işlemi, tüm kullanıcılarınız için tekrarlayın.
Son olarak artık CTRL + ALT + DEL tuş kombinasyonuna ihtiyaç kalmaması sebebiyle kullanıcılarınıza akıllı kart ile korunan iş istasyonlarına oturum açma konusunda detaylı eğitim vermeyi unutmayın.
RSS feed for comments on this post.
