Компьютер не видит рутокен что делать; Настройка железа и софта

Блог компании «Актив» Информационная безопасность *Криптография * Tutorial image

Кто-то из вас наверняка слышал про инцидент , который был обнародован совсем недавно. Американский производитель полупроводников Allegro MicroSystem LLC подал в суд на своего бывшего IT-специалиста за саботаж. Нимеш Пател, проработавший в компании 14 лет, уничтожил важные финансовые данные в первую неделю нового фискального года.

Как это произошло?

Через две недели после своего увольнения Пател зашел на территорию штаб-квартиры компании в Вустере (штат Массачусетс, США) с целью поймать корпоративную сеть Wi-Fi. Используя учетные данные бывшего коллеги и рабочий ноутбук, Пател авторизовался в корпоративной сети. Затем он внедрил в модуль Oracle код и запрограммировал его выполнение на 1 апреля 2016 года — первую неделю нового финансового года. Код предназначался для копирования определенных заголовков или указателей в отдельную таблицу базы данных и следующего удаления их из модуля. Ровно 1 апреля данные были удалены из системы. И поскольку злоумышленник авторизовался в сети Allegro легально, его действия были замечены не сразу.

Подробности широкая общественность не знает, но скорее всего инцидент стал возможен во многом благодаря тому, что в компании для доступа в сеть использовалась парольная аутентификация. Наверняка там были и другие проблемы с безопасностью, но именно пароль можно похитить незаметно для пользователя и факт кражи пароля не будет обнаружен, в лучшем случае вплоть до момента использования похищенных учетных данных.

Применение строгой двухфакторной аутентификации и запрет на использование паролей в сочетании с грамотной политикой безопасности могли бы помочь, если не избежать описанного развития событий, то сильно затруднить реализацию такого плана.

Мы расскажем о том, как можно значительно повысить уровень безопасности вашей компании и защитить себя от подобных инцидентов. Вы узнаете, как настроить аутентификацию и подпись важных данных, используя токены и криптографию (как иностранную, так и отечественную).

В первой статье мы объясним как настроить строгую двухфакторную аутентификацию с использованием PKI при входе в доменную учетную запись в Windows.

В следующих статьях мы расскажем вам, как настроить Bitlocker, защитить электронную почту и простейший документооборот. Также мы вместе с вами настроим безопасный доступ к корпоративным ресурсам и безопасный удаленный доступ по VPN.

Двухфакторная аутентификация

Опытным системным администраторам и службам безопасности хорошо известно, что пользователи крайне не сознательны в вопросе соблюдения политик безопасности, они могут записать свои учетные данные на стикере и приклеить его рядом с компьютером, передать пароли своим коллегам и тому подобное. Особенно часто это происходит, когда пароль сложный (содержащий более 6 знаков и состоящий из букв разного регистра, цифр и специальных символов) и его трудно запомнить. А ведь такие политики администраторами задаются не просто так. Это необходимо для защиты учетной записи пользователя от простого перебора паролей по словарю. Также администраторы рекомендуют менять пароли хотя бы раз в 6 месяцев, просто из того соображения, что за это время теоретически можно отбрутфорсить даже сложный пароль.

Давайте вспомним, что такое аутентификация. В нашем случае это процесс подтверждения подлинности субъекта или объекта. Аутентификация пользователя — это процесс подтверждения подлинности пользователя.

А двухфакторная аутентификация — это такая аутентификация, в которой необходимо использовать не менее двух различных способов для подтверждения своей личности.

Простейшим примером двухфакторной аутентификации в реальной жизни является сейф с замком и кодовой комбинацией. Чтобы открыть такой сейф необходимо знать код и владеть ключом.

Токен и смарт-карта

Наверно, самым надежным и простым в реализации способом двухфакторной аутентификации является использование криптографического токена или смарт-карты. Токен — это USB-устройство, которое является и считывателем, и смарт-картой одновременно. Первым фактором в таком случае является факт владения устройством, а вторым — знание его PIN-кода.

Использовать токен или смарт-карту, тут кому, что удобнее. Но исторически так сложилось, что в России больше привыкли использовать токены, так как они не требуют использования встроенных или внешних считывателей смарт-карт. У токенов есть и свои минусы. Например, на нем не напечатаешь фотографию.

На фотографии изображена типичная смарт-карта и считыватель.

image

Однако вернемся к корпоративной безопасности.

А начнем мы с домена Windows, ведь в большинстве компаний в России корпоративная сеть построена именно вокруг него.

Как известно, политики Windows-домена, настройки пользователей, настройки групп в Active Directory предоставляют и разграничивают доступ к огромному количеству приложений и сетевых сервисов.

Защитив учетную запись в домене, мы можем защитить большинство, а в некоторых случаях и вообще все внутренние информационные ресурсы.

Почему двухфакторная аутентификация в домене по токену с PIN-кодом безопаснее обычной парольной схемы?

PIN-код привязан к определенному устройству, в нашем случае к токену. Знание PIN-кода само по себе ничего не дает.

Например, PIN-код от токена можно диктовать по телефону другим лицам и это ничего не даст злоумышленнику, если вы достаточно бережно относитесь к токену и не оставляете его без присмотра.

С паролем же ситуация совершенно иная, если злоумышленник подобрал, угадал, подсмотрел или еще каким-то образом завладел паролем от учетной записи в домене, то он сможет беспрепятственно зайти, как в сам домен, так и в другие сервисы компании, в которых используется эта же учетная запись.

Токен является уникальным некопируемым физическим объектом. Им обладает легитимный пользователь. Двухфакторную аутентификацию по токену можно обойти только тогда, когда администратор намеренно или по недосмотру оставил для этого «лазейки» в системе.

Преимущества входа в домен по токену

PIN-код от токена проще запомнить, так как он может быть намного проще пароля. Каждый наверняка хоть раз в жизни видел, как «опытный» пользователь мучительно не может с нескольких попыток аутентифицироваться в системе, вспоминая и вводя свой «безопасный» пароль.

PIN-код не обязательно постоянно менять, так как токены более устойчивы к перебору PIN-кодов. После некоторого числа неудачных попыток ввода, токен блокируется.

При использовании токена для пользователя вход в систему выглядит следующим образом: после загрузки компьютера, он просто подключает токен к USB-порту компьютера, вводит 4-6 цифр и нажимает кнопку Enter. Скорость ввода цифр у обычных людей выше, чем скорость ввода букв. Поэтому PIN-код вводится быстрее.

Токены позволяют решить проблему «брошенного рабочего места» — когда пользователь уходит со своего рабочего места и забывает выйти из своей учетной записи.

Политика домена может быть настроена таким образом, чтобы компьютер автоматически блокировался при извлечении токена. Также токен может быть оснащен RFID-меткой для прохода между помещениями компании, поэтому не забрав токен со своего рабочего места, сотрудник просто не сможет перемещаться по территории.

Недостатки, куда же без них

Токены или смарт-карты не бесплатные (решается бюджетом).

Их нужно учитывать, администрировать и обслуживать (решается системами управления токенами и смарт-картами).

Некоторые информационные системы могут «из коробки» не поддерживать аутентификацию по токенам (решается системами типа Single Sign-On — предназначенными для организации возможности использования единой учетной записи для доступа к любым ресурсам области).

Настройка двухфакторной аутентификации в домене Windows

Теоретическая часть:

Служба каталога Active Directory поддерживает возможность аутентификации с помощью смарт-карты и токена, начиная с Windows 2000. Она заложена в расширении PKINIT (public key initialization — инициализация открытого ключа) для протокола Kerberos RFC 4556 .

Протокол Kerberos был специально разработан для того, чтобы обеспечить надежную аутентификацию пользователей. Он может использовать централизованное хранение аутентификационных данных и является основой для построения механизмов Single Sing-On. Протокол основан на ключевой сущности Ticket (билет).

Ticket (билет) является зашифрованным пакетом данных, который выдается доверенным центром аутентификации, в терминах протокола Kerberos — Key Distribution Center (KDC, центр распределения ключей).

Когда пользователь выполняет первичную аутентификацию после успешного подтверждения его подлинности, KDC выдает первичное удостоверение пользователя для доступа к сетевым ресурсам — Ticket Granting Ticket (TGT).

В дальнейшем при обращении к отдельным ресурсам сети, пользователь, предъявляет TGT, получает от KDC удостоверение для доступа к конкретному сетевому ресурсу — Ticket Granting Service (TGS).

Одним из преимуществ протокола Kerberos, обеспечивающим высокий уровень безопасности, является то, что при любых взаимодействиях не передаются ни пароли, ни значения хеша паролей в открытом виде.

Расширение PKINIT позволяет использовать двухфакторную аутентификацию по токенам или смарт-картам на этапе предаутентификации Kerberos.

Вход в систему может быть обеспечен, как при использовании службы каталога домена, так и локальной службы каталога. TGT создается на основе электронной подписи, которая вычисляется на смарт-карте или токене.

Все контроллеры доменов должны иметь установленный сертификат Domain Controller Authentication, или Kerberos Authentication, т. к. реализуется процесс взаимной аутентификации клиента и сервера.

Практика:

Приступим к настройке.

Сделаем так, чтобы в домен под вашей учетной записью можно было зайти только по предъявлению токена и зная PIN-код.

Для демонстрации мы будем использовать Рутокен ЭЦП PKI производства компании «Актив».

В окне «Учетные данные» выберите необходимые учетные данные пользователя для настройки роли. Выберите «Центр сертификации».

Выберите «ЦС предприятия».

ЦС предприятия интегрированы с AD. Они публикуют сертификаты и списки отзыва сертификатов в AD.

Укажите тип «Корневой ЦС».

На следующем этапе выберите «Создать новый закрытый ключ».

Выберите период действия сертификата.

3 этап — Добавление шаблонов сертификатов

Для добавления шаблонов сертификатов откройте Панель управления, выберите пункт «Администрирование» и откройте Центр сертификации.

Щелкните по названию папки «Шаблоны сертификатов», выберите пункт «Управление».

Щелкните по названию шаблона «Пользователь со смарт-картой» и выберите пункт «Скопировать шаблон». На следующих скриншотах показано, какие параметры в окне «Свойства нового шаблона» необходимо изменить.

Если в списке поставщиков нет «Aktiv ruToken CSP v1.0», то необходимо установить комплект «Драйверы Рутокен для Windows».

Начиная с Windows Server 2008 R2 вместо специального провайдера от производителя можно использовать «Microsoft Base Smart Card Crypto Provider».

Для устройств Рутокен библиотека «минидрайвера», поддерживающая «Microsoft Base Smart Card Crypto Provider», распространяется через Windows Update.

Проверить установился ли «минидрайвер» на вашем сервере можно подключив Рутокен к нему и посмотрев в диспетчер устройств.

Если «минидрайвера» по каким-то причинам нет, его можно установить принудительно, инсталлировав комплект «Драйверы Рутокен для Windows», а после этого воспользоваться «Microsoft Base Smart Card Crypto Provider».

Комплект «Драйверы Рутокен для Windows» распространяется бесплатно с сайта Рутокен .

Добавьте два новых шаблона «Агент сертификации» и «Пользователь с Рутокен».

Для этого выйдите из окна «Управления шаблонами». Нажмите правой кнопкой мыши на «Шаблоны сертификатов» и выберите пункт меню «Создать» и подпункт «Выдаваемый шаблон сертификата».

Далее выберите «Агент регистрации» и «Пользователь с Rutoken» и нажмите «ОК». В результате названия этих шаблонов отобразятся в центре сертификации.

Далее нам необходимо выписать сертификат администратору домена. Откройте службу «Выполнить» и укажите команду mmc. Добавьте оснастку «Сертификаты».

В окне «Оснастки диспетчера сертификатов» выберите «моей учетной записи пользователя». В окне «Добавление и удаление оснастки» подтвердите добавление сертификатов.

Выберите папку «Сертификаты».

Запросите новый сертификат. Откроется страница для регистрации сертификата. На этапе запроса сертификата выберите политику регистрации «Администратор» и нажмите «Заявка».

Таким же образом запросите сертификат для Агента регистрации.

Чтобы запросить сертификат для определенного пользователя щелкните «Сертификаты», выберите пункт «Зарегистрироваться от имени…».

В окне для запроса сертификата установите флажок «Пользователь с Рутокен».

Теперь необходимо выбрать пользователя.

В поле «Введите имена выбранных объектов» укажите имя пользователя в домене и нажмите «Проверить имя».

В окне для выбора пользователя нажмите «Заявка».

В раскрывающемся списке выберите имя токена и укажите PIN-код.

Таким же образом выберите сертификаты для других пользователей в домене.

4 этап — Настройка учетных записей пользователей

Для настройки учетных записей откройте список пользователей и компьютеров AD.

Выберите папку Users и пункт «Свойства».

Перейдите на вкладку «Учетные записи», установите флажок «Для интерактивного входа в сеть нужна смарт-карта».

Настройте политики безопасности. Для этого откройте Панель управления и выберите пункт «Администрирование». Откройте меню для управления групповой политикой.

В левой части окна «Управление групповой политикой» щелкните «Default Domain Policy» и выберите пункт «Изменить».

В левой части окна «Редактор управления групповыми политиками» выберите пункт «Параметры безопасности».

Откройте политику «Интерактивный вход в систему: требовать смарт-карту».

На вкладке «Параметры политики безопасности» установите флажки «Определить следующий параметр политики» и «Включен».

Откройте политику «Интерактивный вход в систему: поведение при извлечении смарт-карты».

На вкладке «Параметры политики безопасности» установите флажок «Определить следующий параметр политики», из раскрывающегося списка выберите «Блокировка рабочей станции».

Перезагрузите компьютер. И при следующей попытке аутентификации в домене уже можно будет использовать токен и его PIN-код.

BINGO!

Двухфакторная аутентификация для входа в домен настроена, а значит существенно повышен уровень безопасность для входа в Windows домен без траты безумной суммы на дополнительные средства защиты. Теперь без токена вход в систему невозможен, а пользователи могут вздохнуть спокойно и не мучиться со сложными паролями.

Следующий шаг — безопасная почта, об этом и о настройке безопасной аутентификации в других системах читайте в наших следующих статьях.

«Рутокен ЭЦП 2.0» – это серия устройств для хранения ключей и сертификата электронной подписи (ЭП). Носитель обеспечивает надежную защиту конфиденциальной информации. Для получения ЭП нужно обратиться в удостоверяющую компанию.

“Рутокен ЭЦП” обеспечивает защиту информации.

Что такое «Рутокен»

Термин Rutoken состоит из 2 частей:

  • Ru – сокращение от Russian (российский);
  • token – слово из английского языка, означающее «жетон».

«Рутокен» – зарегистрированная торговая марка, под которой выпускают программные и аппаратные средства криптографической защиты информации (СКЗИ). Производителем является отечественная компания «Актив». Вся продукция имеет сертификаты от ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Линейка аппаратных средств представлена несколькими разновидностями токенов и смарт-карт. Это устройства для хранения информации – ключей и сертификата электронной подписи, удостоверений, лицензий, паролей и др.

От простых флеш-накопителей и карт памяти они отличаются наличием чипа, выполняющего следующие функции:

  • ограничивающего доступ к записанным сведениям (нужно ввести ПИН-код);
  • осуществляющего криптошифрование данных в обход ресурсов компьютера, что повышает безопасность.

“Рутокен” осуществляет шифрование данных.

Сравнение с «Рутокеном S»

«Рутокен С» – это еще одна серия носителей от компании «Актив». Отличие от рассматриваемой линейки состоит в том, что для работы с устройством нужно устанавливать драйвер. «Рутокен ЭЦП 2.0» в этом не нуждается: носители данного типа используют штатный модуль CCID ОС Windows Vista и более новых версий. На старые операционные системы, например Windows XP, расширение CCID устанавливают отдельно.

«Рутокен С» – самая надежная и дорогая разновидность токенов и смарт-карт. Носители отвечают наиболее строгим критериям безопасности, установленным стандартами РФ, и в основном используются в государственных корпорациях.

Сфера применения «Рутокена ЭЦП 2.0» – цифровые системы оборота документов, удаленный банкинг, ЕГАИС.

Основные моменты работы с «Рутокеном ЭЦП 2.0»

Главные функции устройства – хранение и применение электронной подписи.

Она состоит из таких элементов:

  1. Личного (секретного) и открытого ключей. Первый хранится у пользователя, передавать его другим лицам нельзя. Второй позволяет проверить подлинность подписи, передается по открытым каналам.
  2. Сертификата (удостоверения). Он привязывает к открытому коду данные владельца, что исключает его перехват злоумышленниками для последующего использования в личных целях.

Устройство хранит и применяет электронную подпись.

Заверение документа электронной подписью дает такой результат:

  • отправитель подтверждает свое авторство;
  • внесение изменений невозможно.

ЭЦП выдают удостоверяющие центры.

Чтобы ее применить, нужно установить на компьютер специальную программу. В случае с «Рутокеном» это «КриптоПро CSP».

Где купить «Рутокен» и ЭЦП

Выгоднее всего приобретать носители на официальном сайте – rutoken.ru.

Также здесь можно заказать:

  • колпачок для USB-токена;
  • брелок с полем для метки;
  • ленту-подвеску на шею;
  • кабель удлинительный для USB-порта.

На официальном сайте можно приобрести носители.

Носители продают партиями от 10 шт. Пользователям, желающим приобрести продукцию поштучно, производитель предлагает обратиться к одному из партнеров. Список для своего города можно увидеть здесь же, на сайте.

Например, в Москве с компанией «Актив» сотрудничают такие фирмы (указаны не все):

  • «1С: дистрибьюция»;
  • Avrorus;
  • CPS;
  • InfoSaver;
  • «Анкад».

Инструкция по настройке «Рутокена»

Установку и настройку носителя производят в таком порядке:

  1. Скачивают драйверы с веб-ресурса rutoken.ru.
  2. Открывают загруженный файл, чтобы запустить процесс инсталляции.
  3. Следуют указаниям «Мастера установки».
  4. Когда драйверы будут установлены, нажимают кнопку «Закрыть», чтобы автоматически запустился процесс настройки «Рутокена».
  5. Вставляют устройство в разъем USB (Bluetooth-версию просто включают).
  6. Открывают последовательно «Панель управления» – «Администрирование» – «Информацию».
  7. Если напротив строки Microsoft Base Smart Card Crypto Provider есть надпись «Активировать», кликают по ней; если «Поддерживается» – переходят к следующему пункту.
  8. На вкладке «Настройка» выбирают пункт с тем же названием и в нем ставят галочку напротив Microsoft Base Smart Card Crypto Provider.
  9. Нажимают «ОК».

В настройках активируют пункт “Microsoft Base Smart Card Crypto Provider”.

Когда система предложит задать ПИН-код, вводят «12345678». Далее нужно скачать и установить на ПК программу «КриптоПро».

Как установить сертификат ЭЦП

Есть несколько способов установки сертификата.

В первом случае поступают так:

  1. Нажимают «Пуск» – «Панель управления» – «Панель управления Rutoken».
  2. Переходят во вкладку «Сертификаты».
  3. Напротив нужной записи устанавливают флажок «Зарегистрирован». Удостоверение появляется в хранилище «Личное» на ПК. Инсталляция завершена.
  4. Чтобы удалить удостоверение, снимают галочку.

Через панель управления Rutoken устанавливают сертификат.

Перед тем как установить сертификат ЭЦП на компьютер этим способом, убедитесь, что он имеется в контейнере на «Рутокене», иначе в «Панели управления» отобразится пустая ключевая пара без удостоверения.

Копирование через «КриптоПро»

Во втором случае используют программу «КриптоПро»:

  1. Запускают ее и переходят во вкладку «Сервис».
  2. Выбирают пункт «Установить личный сертификат» и в открывшемся окне «Мастера» нажимают кнопку «Далее».
  3. Кликают по надписи «Обзор» и указывают путь к файлу сертификата.
  4. Продолжая следовать инструкциям «Мастера», задают местонахождение контейнера закрытого ключа и выбирают хранилище «Личные».
  5. Завершают установку нажатием кнопки «Готово».

Чтобы настроить «Рутокен», нужна программа «КриптоПро» .

Как скопировать ЭЦП на флешку

В случае повреждения токена, а также для передачи другому лицу подпись дублируют на флеш-карту.

Порядок действий:

  1. Вставляют оба USB-устройства в компьютер.
  2. Открывают «КриптоПро» и переходят во вкладку «Сервис».
  3. Последовательно нажимают кнопки «Скопировать» и «Обзор». В открывшемся диалоговом окне указывают путь к сертификату.
  4. Вводят пароль и название копии.
  5. Несколько раз нажав кнопку «Далее» и затем «Готово», выбирают в открывшемся окне флеш-карту.
  6. Задают пароль для копии.

Если подписывать документы приходится часто, делать это с помощью токена или флеш-карты становится неудобно. ЭП копируют в реестр Windows.

Для передачи ЭЦП другому лицу делают копирование на флешку.

Действуют в той же последовательности, что и в случае с флеш-накопителем. Только в последнем окне пунктом назначения вместо сменного носителя указывают «Реестр».

Этот способ неудобен, если подписью пользуются несколько человек. Кроме того, после поломки жесткого диска или переустановки операционной системы выпуск сертификата придется повторить.

Копирование ЭП из реестра

Если стандартными способами скопировать подпись не удалось, ее извлекают из реестра.

Адрес нужной ветки зависит от разрядности Windows:

  • 32 bit – HKEY_LOCAL_MACHINESOFTWARECrypto ProSettingsUsers*Имя пользователя ЭЦП*Keys*Идентификатор контейнера*;
  • 64 bit – HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUSERS*Имя пользователя ЭЦП*Keys*Идентификатор контейнера*.

Порядок действий:

  1. Находят папку по указанному адресу и кликают по ней правой кнопкой.
  2. В открывшемся контекстном меню выбирают пункт «Экспортировать».
  3. Набирают имя файла и кликают по надписи «Сохранить».
  4. Стандартным способом копируют полученный файл с расширением *.reg на винчестер.
  5. Открывают его приложением «Блокнот».
  6. В третьей строчке находят SID пользователя Windows (идентификатор безопасности) и меняют его на нужный.
  7. Если производится перенос из 32-разрядной Windows в 64-битную, после Software вписывают Wow6432Node.
  8. Сохраняют изменения и закрывают «Блокнот».
  9. Кликают правой кнопкой по файлу реестра и выбирают в контекстном меню «Слияние».

ЭЦП можно извлечь из реестра Windows.

В результате данные о контейнере попадают в реестр.

Пользователю остается установить личный сертификат с помощью программы «КриптоПро CSP» вручную.

Установка сертификата ЭЦП с «Рутокеном»

Инсталлировать удостоверение можно и через команду «Посмотреть сертификаты в контейнере» во вкладке «Сервис» программы «КриптоПро».

После ее запуска делают следующее:

  1. Щелкают по кнопке «Обзор» и указывают путь к сертификату.
  2. Выбирают пункты «Далее» – «Установить» или «Свойства» – «Установить сертификат» (зависит от версии «КриптоПро CSP»).
  3. Последовательно жмут на надписи «Далее» и «Готово».

Чтобы инсталлировать удостоверение ЭЦП, выбирают контейнер сертификата.

Перед тем как скопировать ЭЦП этим способом, убедитесь в наличии контейнера с сертификатом на токене, иначе «КриптоПро CSP» выдаст сообщение об отсутствии открытого ключа в контейнере закрытого кода.

Установка ЭЦП с флешки на компьютер

Инсталляцию подписи с флеш-накопителя производят так:

  1. Вставляют устройство в USB-разъем ПК.
  2. Запускают программу «КриптоПро CSP».
  3. Переходят во вкладку «Оборудование».
  4. Кликают по кнопке «Настроить считыватели».
  5. Выбирают пункт «Все считыватели смарт-карт».

Считыватель нужен для установки ЭЦП с флешки.

После этого подпись появляется в компьютере.

Если окно с выбором считывателя не отобразилось, поступают так:

  1. Открывают пункт «Настройки считывателей».
  2. Кликают по надписи «Добавить».
  3. Щелкают по кнопке «Далее».
  4. В открывшемся окне выбирают «Все производители» и затем кликают по надписи «Далее».

Как перенести контейнер на «Рутокен»

Перенос тоже выполняют с помощью программы «КриптоПро CSP»:

  1. Вставляют носитель в разъем компьютера.
  2. Переходят во вкладку «Сервис» и нажимают на кнопку «Скопировать».
  3. В появившемся окне кликают по надписи «Обзор» и находят нужный контейнер.
  4. Нажимают «Далее» и вводят ПИН-код.
  5. Набирают имя для копии контейнера.
  6. Указывают «Рутокен» в качестве пункта назначения.
  7. Вводят пароль для доступа к нему.

Чтобы перенести контейнер на «Рутокен», вводят ПИН-код.

Перенос завершен.

Проверка срока действия «Рутокена ЭЦП 2.0»

Чтобы выяснить конечную дату действия подписи, делают так:

  1. В программе «КриптоПро CSP» во вкладке «Сервис» щелкают по кнопке «Посмотреть сертификаты в контейнере».
  2. С помощью функции «Обзор» находят нужную запись.
  3. Последовательно нажимают кнопки «ОК» и «Далее».

Отображается окно с информацией об ЭП, в т.ч. сроке ее действия.

Другой способ предусматривает использование браузера Internet Explorer:

  1. Переходят в раздел «Сервис» (см. изображение шестерни справа вверху).
  2. Выбирают пункт «Свойства браузера» и в нем – «Содержание».
  3. Кликают по кнопке «Сертификаты».
  4. Во вкладке «Личные» находят нужное удостоверение.

Для выяснения даты действия подписи смотрят сертификат в контейнере.

Рядом отображается срок его действия.

Удаление сертификата с «Рутокена»

Устаревший сертификат деинсталлируют в таком порядке:

  1. Нажимают кнопку «Пуск» и переходят в «Панель управления».
  2. Выбирают «Панель управления Рутокена».
  3. Переходят во вкладку «Сертификаты».
  4. Ставят флажок напротив нужной записи и щелкают по кнопке «Удалить».

Возможные проблемы с ЭЦП на «Рутокене»

Программа «КриптоПро» может не увидеть на «Рутокене» или ином носителе файлы закрытого ключа (он имеет расширение *.key). Это значит, что их записали в корневой каталог или во вложенную папку. Чтобы исправить ошибку, переместите файлы в папку первого уровня.

Если при попытке воспользоваться подписью появляется сообщение «На носителе Рутокен ЭЦП не найдено ни одного сертификата», причиной могут быть:

  • некорректная работа драйвера;
  • повреждение токена;
  • сбой в программной части ПК.

В первом случае проблему решают переустановкой утилиты, во втором – покупкой нового носителя, в третьем – заменой операционной системы.

Домой Безопасность eToken

Любой человек, работающий IT специалистом хоть раз но сталкивался с электронными ключами. Этих ключей очень много все они разные. Сегодня пойдет речь не а самих ключах а о носителях, на которых эти ключи хранятся. Сегодня разберем, что такое eToken и проблемы, которые могут возникнуть при работе с eToken.

Для начала расскажу, что такое eToken это торговая марка для линейки персональных средств аутентификации в виде USB-брелков и смарткарт, а также программные решения с их использованием. Если сказать проще то специальный USB носитель для хранения различных ключей. Внешне она очень похожа на обычную флешку. Если кто хочет узнать подробней о eToken то можете зайти на сайт производителя и почитать подробней. Я небу расписывать все подробно так как это тема для отдельной статьи.

 Драйвера eToken

В некоторых случаях после того, как более ранняя версия была удалена неправильно, драйверы eToken приходится деинсталлировать в ручном режиме. Изложенный ниже способ удаления касается такихпрограмм, как eToken RTE ( версия 3.65 и выше), eToken PKI Client ( версия 4.5 и выше), а также eToken PKI Client (версия 5.0 и выше).

При неполной деинсталляции драйверов eToken могут возникнуть следующие неполадки – в процессе инсталляции новой версии драйверов может произойти «откат» к старой версии, из-за чего процесс установки будет прерван.

Или, как вариант, драйверы все же установятся, но после этого число виртуальных считывателей будет равняться нулю, и исправить это значение будет нельзя.

Возникают подобные неприятности из-за того, что не полностью удаленные драйверы старых версий мешают установке и нормальному функционированию обновленных драйверов.

Исправляются они следующим образом – сперва нужно удалить все подключенные к ПК электронные ключи eToken, после чего выполнить вход в систему под учетной записью администратора, и произвести следующие манипуляции:

1. В меню “Пуск” открыть вкладку “Панель управления”, в которой необходимо найти пункт “Установка и удаление программ”. Если в списке установленных программ обнаружатся драйверы, имеющие названия eToken PKI Client, или же eToken RunTime Enviroment(RTE), то их следует просто удалить с помощью штатных средств Windows (т.е. просто кликнуть на кнопке “Удалить”, расположенной рядом с названием драйвера).

2. При помощи вкладки “Выполнить ” в меню “Пуск“ проверить, имеются ли на компьютере файлы со следующими адресами: %SYSTEMROOT%system32eToken.dll, %SYSTEMROOT%system32driversaksup.sys, или %SYSTEMROOT%system32driversaksifdh.sys.В случае обнаружения этих файлов их также нужно удалить.

3. Нужно просто произвести удаление папки, находящуюся по адресу: %SYSTEMROOT%system32SetupAladdineToken

4. Удалить службу ETOKSRV, если она имеется на компьютере. Для того, чтобы сделать это, необходимо набрать в командной строке (для ее вызова можно использовать способ, описанный выше, а можно открыть меню “Пуск”, и во вкладке “Выполнить” набрать “CMD” ) команду : sc delete etsrv и sc delete ETOKSRV

5. Перезагрузить компьютер, после чего попытаться выполнить установку драйверов.

После этих манипуляций проблемы с eToken должны исчезнуть при условии, что вы все сделали правильно и компьютер полностью исправен.

Центр загрузки драйверов eToken

Для корректной работы электронных USB-ключей, именуемых также USB-токенами, и контактных смарт-карт семейства eToken на компьютере, сервере, ноутбуке, необходимо предварительно загрузить и установить драйверы устройств eToken, поддерживающие установленную на вашем оборудовании операционную систему.

Примечание: при использовании идентификаторов eToken, выполненных в виде пластиковых смарт-карт, к компьютеру также должен быть подключен PC/SC совместимый считыватель смарт-карт и установлены соответствующие драйверы подключённого устройства чтения смарт-карт.

Скачать драйверы, а также ознакомиться с условиями приобретения комплектов служебных утилит линеек eToken SafeNet Authentication Client (SAC), eToken PKI Client и eToken Runtime Environment (eToken RTE) для операционных систем семейства Microsoft Windows вы можете по ссылкам, указанным на данной странице.

SafeNet Authentication Client (SAC)

Данный комплект служебных утилит и драйверов USB-токенов и контактных смарт-карт семейства eToken поставляется по подписке. Рекомендуется для установки на Microsoft Windows 10, Server 2016.

Для уточнения цен на приобретение комплекта SAC и условий поставки просьба отправить запрос

eToken PKI Client 5.1

Популярная версия служебных утилит и драйверов электронных USB-ключей и смарт-карт линейки eToken. Рекомендуется для скачивания и установки на компьютеры и серверы под управлением Microsoft Windows.

eToken PKI Client 4.55

Данная версия драйвера и комплекта служебных утилит eToken PKI Client для устройств идентификации линейки eToken рекомендуется только для пользователей операционных систем Microsoft Windows 2000.

eToken Runtime Environment (eToken RTE)

Данная версия комплекта драйверов и служебных утилит для работы с устройствами идентификации eToken рекомендуется для установки на старых операционных системах Windows, а также для поддержки ключей eToken R2.

Источник

Установка USB-ключей и смарт-карт eToken в Windows 10

Электронные USB-ключи и контактные смарт-карты семейства eToken предназначены для обеспечения защищённой двухфакторной аутентификации пользователей при доступе к различным информационным ресурсам конфиденциального характера.

Для того чтобы ключи и карты моделей eToken полноценно функционировали в операционной системе Windows 10, необходимо установить соответствующие драйверы.

В данном обзоре приведём пример установки драйвера и дополнительных утилит для работы с eToken из состава пакета SafeNet Authentication Client (SAC) версии 9.0.43. Установку осуществим в ОС Windows 10 Корпоративная редакция (64-бит).

Установка SafeNet Authentication Client на компьютерах под управлением 32-битной версии операционной системы Windows 10, а также других, поддерживаемых SAC, операционных систем семейства Microsoft Windows производится аналогично.

Итак, после того, как вы скачали дистрибутив SafeNet Authentication Client, переходим непосредственно к его установке:

  • Авторизуйтесь в операционной системе с административными правами
  • Закройте все открытые приложения
  • Запустите на выполнение файл SafeNetAuthenticationClient-x32-x64-9.0.exe, входящий в состав дистрибутива SAC и расположенный в папке “EXE Installer”
  • В появившемся окне приветствия нажмите кнопку “Next” (Далее)
  • В выпадающем списке выберите необходимый язык интерфейса SAC из предложенного перечня доступных языков
  • Для перехода к лицензионному соглашению нажмите кнопку “Next” (Далее)
  • Ознакомьтесь с предложенным лицензионным соглашением. Если вы согласны с его условиями, то выберите пункт “I accept the license agreement” (Я принимаю условия лицензионного соглашения) и нажмите кнопку “Next” (Далее)
  • В ином случае нажмите кнопку “Cancel” (Отмена) – для отказа от установки
  • Если вы согласились с условиями лицензионного соглашения в предыдущем пункте, то на экране появится окно выбора места установки
  • Кнопкой “Change” (Изменить) укажите место на диске, куда необходимо установить SAC или оставьте путь по умолчанию
  • Для начала установки пакета нажмите кнопку “Next” (Далее)
  • Вам будет предложено выбрать тип установки – “Typical”, содержащий необходимые в большинстве случаев компоненты, либо “Custom”. Во втором случае предоставляется возможность самостоятельно выбрать устанавливаемые компоненты из состава SAC. В текущем примере остановимся на варианте “Typical”, подходящим для большинства пользователей
  • Для продолжения установки нажмите кнопку “Next” (Далее)
  • На данном этапе установки предлагается возможность приступить к непосредственной установке драйверов и утилит eToken (кнопка “Install”)
  • Как вариант, вы ещё можете вернуться назад, если необходимо сделать какие-то изменения в предыдущих пунктах инсталляции пакета SAC. Для возврата в предыдущее меню нажмите кнопку “Back” (Назад)
  • В случае если вы выбрали в предыдущем меню старт установки, то начнётся установочный процесс, сопровождаемый шкалой выполнения
  • По завершении инсталляции пакета SAC откроется соответствующее окно, закрыть которое вы можете нажатием кнопки “Finish” (Закончить)

На этом процесс установки утилит и драйвера eToken из состава пакета SafeNet Authentication Client 9.0.43 завершён

Дополнительные видеоматериалы

  • Установка SafeNet Authentication Client 10.8 в Windows 10

Источник

Установка eToken в Windows 10 с использованием SAC 10.0.43

Электронные USB-ключи семейства eToken, а также контактные смарт-карты упомянутого семейства применяются для защищённого хранения регистрационных данных пользователей, необходимых для аутентификации при доступе к конфиденциальным информационным ресурсам.

Для полноценной работы идентификаторов eToken в операционной системе Windows 10 необходимо установить на компьютере соответствующие драйверы устройств.

В качестве примера рассмотрим установку драйверов и служебных утилит eToken, входящих в набор дистрибутива SafeNet Authentication Client (SAC) версии 10.0.43. Инсталляцию произведём на ПК с 64-битной ОС Windows 10 Корпоративная редакция.

Установка SAC (SafeNet Authentication Client) на компьютерах с развернутой 32-битной редакцией операционной системы Windows 10 или же с предыдущими версиями Windows, поддерживаемых SAC 10.0.43, производится схожим образом.

Итак, переходим непосредственно к установке SafeNet Authentication Client:

  • Авторизуйтесь в Windows 10 с правами администратора
  • Закройте все открытые программы
  • Запустите файл SafeNetAuthenticationClient-x32-x64-10.0.exe из пакета дистрибутива SAC, расположенный в папке “EXE Installer”
  • В открывшемся окне приветствия нажмите кнопку “Next” (Далее) для перехода к следующему пункту установки
  • Выберите необходимый язык интерфейса устанавливаемого пакета и нажмите кнопку “Next” (Далее)
  • На данном этапе установки необходимо ознакомиться с лицензионным соглашением и, в случае согласия, выбрать пункт “I accept the license agreement” (Я принимаю условия лицензионного соглашения)
  • Для перехода к следующему пункту установки нажимаем кнопку “Next” (Далее)
  • В ином случае отменяем установку нажатием кнопки “Cancel”
  • При согласии в предыдущем пункте с условиями лицензионного соглашения на экране появится окно выбора места установки
  • Кнопкой “Change” (Изменить) можете указать свой путь для инсталляции SAC или оставить предложенный по умолчанию
  • Для установки SAC нажмите кнопку “Next” (Далее)
  • Вам будет предложено выбрать тип установки Typical (Типичная) или Custom (Выборочная)
  • В большинстве случаев достаточно типичной установки SAC (Typical) на которой и остановимся в данном примере
  • При выборочной установке (Custom) становится доступной выборка компонентов дистрибутива, которые будут установлены в системе
  • Нажмите кнопку “Next” (Далее) для продолжения установки
  • SAC готов к инсталляции
  • Жмём кнопку “Install” (Установка) для начала копирования файлов
  • Процесс установки SafeNet Authentication Client будет сопровождаться индикатором прогресса
  • Дождитесь его завершения или нажмите для отмены кнопку “Cancel”
  • Установка SafeNet Authentication Client 10.0.43 завершена
  • Нажмите кнопку “Finish” для выхода из программы установки

Если в процессе установки SafeNet Authentication Client 10.0.43 у вас возникли какие-либо вопросы, то можете задать их по электронной почте, либо по телефону, указанному на сайте. Скачать драйверы для электронных USB-ключей и смарт-карт eToken вы можете по этой ссылке.

Источник

Оцените статью
Рейтинг автора
4,8
Материал подготовил
Егор Новиков
Наш эксперт
Написано статей
127
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий