etoken initialiseringsnøkkel. Maskinvareautentisering basert på USB-nøkler i Windows XP - Trinn-for-trinn guide

Tokens, elektroniske nøkler for å få tilgang til viktig informasjon, blir stadig mer populære i Russland. Et token er nå ikke bare et autentiseringsmiddel i et datamaskinoperativsystem, men også en praktisk enhet for å lagre og presentere personlig informasjon: krypteringsnøkler, sertifikater, lisenser, identifikasjoner. Tokens er mer pålitelige enn standard "pålogging/passord"-paret på grunn av tofaktor-identifikasjonsmekanismen: det vil si at brukeren ikke bare må ha et lagringsmedium (selve tokenet), men også kjenne PIN-koden.

Det er tre hovedformfaktorer der tokens utstedes: USB-token, smartkort og nøkkelbrikke. PIN-kodebeskyttelse finnes oftest i USB-tokens, selv om nyere modeller av USB-tokens er tilgjengelige med muligheten til å installere en RFID-brikke og med en LCD-skjerm for generering av engangspassord.

La oss se nærmere på prinsippene for drift av tokens med en PIN-kode. En PIN-kode er et spesielt definert passord som deler opp autentiseringsprosedyren i to trinn: feste et token til datamaskinen og taste inn selve PIN-koden.

De mest populære token-modellene på det moderne russiske elektroniske markedet er Rutoken, eToken fra Aladdin-selskapet og en elektronisk nøkkel fra Aktiv-selskapet. La oss se på de vanligste spørsmålene angående PIN-koder for tokens ved å bruke eksemplet med tokens fra disse produsentene.

1. Hva er standard PIN-kode?

Tabellen nedenfor gir informasjon om standard PIN-koder for Rutoken og eToken tokens. Standardpassordet er forskjellig for ulike eiernivåer.

Eieren	Bruker	Administrator
Rutoken	12345678	87654321
eToken	1234567890	Som standard er det ikke angitt noe administratorpassord. Kan kun installeres via kontrollpanelet for eToken PRO, eToken NG-FLASH, eToken NG-OTP-modeller.
JaCarta PKI	11111111	00000000
JaCarta GOST	Ikke spesifisert	1234567890
JaCarta PKI/GOST	For PKI-funksjonalitet: 11111111 Når du bruker JaCarta PKI med alternativet "Backward Compatibility" - PIN-kode - 1234567890 For GOST-funksjonalitet: Ingen PIN-kode er angitt	For PKI-funksjonalitet: 00000000 Når du bruker JaCarta PKI med alternativet "Backward Compatibility" - ingen PIN-kode er satt For GOST-funksjonalitet: 1234567890
JaCarta PKI/GOST/SE	For PKI-funksjonalitet: 11111111 For GOST-funksjonalitet: 0987654321	For PKI-funksjonalitet: 00000000 For GOST-funksjonalitet: 1234567890
JaCarta PKI/BIO	11111111	00000000
JaCarta PKI/Flash	11111111	00000000
ESMART-token	12345678	12345678
IDprime-kort	0000	48 nuller
JaCarta PRO/JaCarta LT	1234567890	1234567890

2. Må jeg endre standard PIN-kode? Hvis ja, på hvilket tidspunkt i arbeidet med tokenet?

3. Hva skal jeg gjøre hvis PIN-kodene på tokenet er ukjente og standard PIN-koden allerede er tilbakestilt?

Den eneste utveien er å fullstendig tømme (formatere) tokenet.

4. Hva skal jeg gjøre hvis brukerens PIN-kode er blokkert?

Du kan låse opp brukerens PIN-kode via tokenkontrollpanelet. For å utføre denne operasjonen må du kjenne administrator-PIN-en.

5. Hva skal jeg gjøre hvis administrator-PIN-koden er blokkert?

Administrator-PIN-koden kan ikke låses opp. Den eneste utveien er å fullstendig tømme (formatere) tokenet.

6. Hvilke sikkerhetstiltak har produsenter tatt for å redusere risikoen for passordgjetting?

Hovedpunktene i sikkerhetspolicyen for PIN-koder for USB-tokens til Aladdin og Aktiv-selskapene er presentert i tabellen nedenfor. Etter å ha analysert tabelldataene kan vi konkludere med at eToken antagelig vil ha en sikrere PIN-kode. Rutoken, selv om det lar deg angi et passord på bare ett tegn, noe som er usikkert, er det på andre måter ikke dårligere enn produktet til Aladdin-selskapet.

Parameter	eToken	Rutoken
Minste PIN-kodelengde	4	1
PIN-kodesammensetning	Bokstaver, tall, spesialtegn	Tall, bokstaver i det latinske alfabetet
	Større enn eller lik 7	Opp til 16
Administrere PIN-sikkerhet	Spise	Spise
	Spise	Spise

Viktigheten av å holde PIN-koden hemmelig er kjent for alle de som bruker tokens til personlige formål, lagrer sin elektroniske signatur på den og stoler på den elektroniske nøkkelen med informasjon av ikke bare personlig karakter, men også detaljene i forretningsprosjektene deres. Tokens fra selskapene "Aladdin" og "Active" har forhåndsinstallerte sikkerhetsegenskaper og, sammen med en viss forsiktighet som vil utvises av brukeren, reduserer risikoen for passordgjetting til et minimum.

Rutoken- og eToken-programvareprodukter presenteres i ulike konfigurasjoner og formfaktorer. Det tilbudte utvalget lar deg velge nøyaktig den token-modellen som best oppfyller dine krav, det være seg

Lagring av nøkler på maskinvarenøkler (Kaztoken, eToken) øker sikkerheten ved lagring og bruk av organisasjonens digitale signatur:

• Det er vanskeligere å kopiere lagrede digitale signaturer i hemmelighet fra disse enhetene enn fra en PC
• Hvis tokenet går tapt, er bruken av den digitale signaturen passordbeskyttet

For å bruke eToken-enheter må en organisasjon ha gyldige EDS-nøkler.

I artikkelen:

Installere EDS-nøkler på eToken-enheten (video leksjon)

Installering av en elektronisk digital signatur på eToken-medier har noen nyanser (testet fra september 2015).

Når du bruker eToken-enheten for første gang, før du skriver nøkler til den, er det nødvendig å endre standardpassordet (1234567890) til et mer komplekst, først etter dette er det mulig å skrive EDS-nøkler til enheten. Derfor, hvis du bare setter inn en ny eToken-enhet i PC-en og prøver å installere sertifikater via NCA-nettstedet, etter at installasjonen er fullført, vil du motta en feilmelding om sertifikatinstallasjon.

Derfor må du laste ned kontrollprogrammet til eToken-enheten, reinitialisere enheten, fjerne merket for å kreve passordendring før bruk.

Og siden NCA-nettstedet bare kan skrive nøkler til et token hvis passordet for eToken er 1234567890 (med andre passord, igjen etter installasjon får vi en nøkkelskrivefeil), tvinger vi i kontrollprogrammet passordet til å være 1234567890, etter først å ha avmerket boksen som krever et komplekst passord.

Etter de fullførte operasjonene kan du skrive de digitale signaturnøklene på eToken-mediet.

Rengjøring av eToken-medier (videoopplæring)

Retter feilen Mer enn én RSA-nøkkel oppdaget

Hvis du ikke sletter eToken-mediet før du installerer nye nøkler, vil installasjonen gjennom NCA-nettstedet være vellykket, men når du prøver å logge på Treasury Client IS-portalen, vil du støte på følgende feil: Mer enn én RSA-nøkkel oppdaget:

Løsningen på dette problemet er å laste ned InfoToken()-verktøyet og bruke det til å formatere enheten. Deretter må du skrive nøklene til tokenet på nytt.

Råd fra leseren vår: du kan prøve å fjerne unødvendige nøkler ved å bruke TumarCSP.

Fra forfatteren:

Hvis problemet er løst, er en av måtene å si "Takk" til forfatteren indikert - .

Hvis problemet ikke kunne løses eller det dukker opp flere spørsmål, kan du stille dem på nettsiden vår, i gruppen vår.

Eller bruk vår ""-tjeneste og overlate problemet til en spesialist.

"Innen 2008 vil antallet USB-nøkler som er i bruk nærme seg antallet andre autentiseringsmetoder"
IDC 2004

Introduksjon

I dag, på grunn av den utbredte bruken av datamaskiner, må vi i økende grad tenke på sikkerheten til behandlet informasjon. Det første trinnet for å sikre sikkerheten er å autentisere den legitime brukeren.
Den vanligste autentiseringsmetoden er et passord. I tillegg bruker mer enn 60% av brukerne, som praksis viser, oftest de samme passordene for forskjellige systemer. Det er unødvendig å si at dette reduserer sikkerhetsnivået betydelig. Hva å gjøre?
Etter min mening vil en av løsningene på problemet være å bruke maskinvareautentiseringsnøkler. La oss se nærmere på bruken av dem ved å bruke eksemplet med USB-nøkler fra Aladdin.

Hva er eToken?

eToken (fig. 1) er en personlig enhet for autentisering og datalagring, som har maskinvarestøtte for arbeid med digitale sertifikater og elektroniske digitale signaturer (EDS). eToken utstedes i form av:

• eToken PRO er en USB-nøkkel som tillater tofaktorautentisering. Tilgjengelig i 32K og 64K versjoner.
• eToken NG-OTP er en hybrid av en USB-nøkkel og en enhet som genererer One Time Password (OTP). Tilgjengelig i 32K og 64K versjoner.
• eToken PRO smartkort er en enhet som utfører de samme funksjonene som en USB-nøkkel, men har form av et vanlig kredittkort. Tilgjengelig i 32K og 64K versjoner.

I fremtiden vil vi snakke spesifikt om USB-nøkler, som kobles direkte til USB-porten på datamaskinen og, i motsetning til et smartkort, ikke krever en spesiell leser.
eToken har sikkert ikke-flyktig minne og brukes til å lagre passord, sertifikater og andre sensitive data.

Figur 1 eToken Pro 64k

eToken-enhet

eToken PRO-teknologikomponenter:

• Infineon SLE66CX322P eller SLE66CX642P smartkortbrikke (EEPROM med en kapasitet på henholdsvis 32 eller 64 KB);
• Smartkort OS Siemens CardOS V4.2;
• Maskinvareimplementerte algoritmer: RSA 1024bit, DES, Triple-DES 168bit, SHA-1, MAC, Retail-MAC, HMAC-SHA1;
• Maskinvare tilfeldig tall sensor;
• USB-grensesnitt kontroller;
• Strømforsyning;
• Dekselet er laget av hard plast, er ikke utsatt for uoppdagelig åpning.

eToken NG-OTP-enheten inkluderer i tillegg følgende komponenter:

• Engangspassordgenerator;
• Knapp for å generere dem;
• LCD-skjerm;

Grensesnittstøtte:

• Microsoft CryptoAPI;
• PKCS#11.

PIN-kode

For å få tilgang til dataene som er lagret i eToken-minnet, må du angi en PIN-kode (Personal Identification Number). Det anbefales ikke å bruke mellomrom eller russiske bokstaver i PIN-koden. I dette tilfellet må PIN-koden oppfylle kvalitetskriteriene som er spesifisert i filen %systemroot%\system32\etcpass.ini.
Denne filen, som inneholder kvalitetskriteriene for PIN-koden, kan redigeres ved hjelp av verktøyet eToken Properties.

Tilgangsrettigheter til eToken

Avhengig av eToken-modellen og parametrene som er valgt under formatering, kan fire typer tilgangsrettigheter til eToken skilles:

• gjest– muligheten til å se objekter i et åpent minneområde; muligheten til å hente generell informasjon om eToken fra systemminneområdet, inkludert eToken-navnet, identifikatorer og noen andre parametere. Med gjestetilgang er det ikke nødvendig med kunnskap om PIN-koden;
• tilpasset– retten til å se, endre og slette objekter i lukkede, åpne og ledige minneområder; muligheten til å få generell informasjon om eToken; retten til å endre PIN-koden og gi nytt navn til eToken; rett til å konfigurere hurtigbufferparametere for innholdet i et privat minneområde og ekstra passordbeskyttelse av private nøkler (i mangel av et administratorpassord eller med administrators tillatelse), retten til å se og slette sertifikater i eToken-lageret og RSA-nøkkelen beholdere;
• administrativt– retten til å endre brukerens PIN-kode uten å vite det; retten til å endre administratorpassordet; retten til å konfigurere parametere for bufring av innholdet i et privat minneområde og ekstra passordbeskyttelse av private nøkler, samt muligheten til å gjøre disse innstillingene tilgjengelige i brukermodus;
• initialisering– retten til å formatere eToken PRO.

eToken R2 inkluderer bare de to første typene rettigheter, eToken PRO og eToken NG-OTP - alle fire.
Administratortilgang til eToken PRO kan bare oppnås etter riktig inntasting av administratorpassordet. Hvis administratorpassordet ikke er spesifisert under formateringsprosessen, kan du ikke få tilgang til det med administratorrettigheter.

Programvare for eToken

Generell informasjon

eToken Run Time Environment 3.65
eToken Run Time Environment (eToken RTE) – et sett med eToken-drivere. Denne programvarepakken inkluderer eToken Properties-verktøyet.
Ved å bruke dette verktøyet kan du:

• konfigurere parametere for eToken og dets drivere;
• se generell informasjon om eToken;
• importere, se og slette sertifikater (unntatt sertifikater fra eTokenEx-butikken) og RSA-nøkkelbeholdere;
• format eToken PRO og eToken NG-OTP;
• konfigurere PIN-kodekvalitetskriterier.

Lokale administratorrettigheter kreves for å installere denne programvaren. Husk at du ikke kan koble til eToken-nøkkelen før du installerer eToken RTE.
Programvareinstallasjonen må utføres i følgende rekkefølge:

• eToken RTE 3.65;
• eToken RTE 3.65 RUI (russifisering av grensesnittet);
• eToken RTX.

Installere og avinstallere eToken RTE 3.65 på en lokal datamaskin

Installasjon

Figur 2 eToken Run Time Environment 3.65 Oppsett

I vinduet (fig. 3) må du lese lisensavtalen og godta den.

Figur 3 Lisensavtale for sluttbrukere

Hvis du ikke godtar vilkårene i lisensavtalen, klikker du på "Avbryt"-knappen og avbryter dermed installasjonsprosessen.
Hvis du godtar lisensavtalen, velger du "Jeg godtar lisensavtalen" og klikker på "Neste"-knappen. Du vil se følgende vindu på skjermen (fig. 4):

Figur 4 Klar til å installere applikasjonen

Installasjonen vil ta litt tid.
På slutten av installasjonsprosessen (fig. 5), klikk på "Fullfør"-knappen.

Figur 5 eToken Run Time Environment 3.65 har blitt installert
Du må kanskje starte datamaskinen på nytt på slutten av installasjonen.

eToken RTE 3.65 RUI

Installasjon
For å installere eToken RTE 3.65 RUI, må du kjøre installasjonsprogrammet.

Figur 6 Installasjon av eToken 3.65 RUI
I vinduet som vises (fig. 6), klikk på "Neste"-knappen.

Figur 7 Fullføring av installasjonen av russisk brukergrensesnitt

Bruke kommandolinjen

Du kan bruke kommandolinjen til å installere og avinstallere eToken RTE 3.65, eToken RTE 3.65 RUI og eToken RTX.
Eksempler på kommandoer:

• msiexec /qn /i
• msiexec /qb /i
• /q– installasjon av eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) i automatisk modus uten dialogbokser med standardparametere;
• /qb– installasjon av eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) i automatisk modus med standardparametere og visning av installasjonsprosessen på skjermen;
• msiexec /qn /x– fjerning av eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) automatisk uten dialogbokser;
• msiexec /qb /x– fjerning av eToken RTE 3.65 (eToken RTE 3.65 RUI, eToken RTX) i automatisk modus med fjerningsprosessen vist på skjermen.

Koble eToken USB-nøkkelen til datamaskinen for første gang

Hvis eToken RTE 3.65 er installert på datamaskinen din, kobler du eToken til en USB-port eller skjøtekabel. Etter dette starter behandlingen av nytt utstyr, noe som kan ta litt tid. Når den nye maskinvarebehandlingsprosessen er fullført, vil lysindikatoren på eToken tennes.

eToken Properties-verktøyet

Figur 8 "eToken Properties"-vinduet

eToken Properties-verktøyet lar deg utføre grunnleggende token-administrasjonsoperasjoner, for eksempel å endre passord, se informasjon og sertifikater i eToken-minnet. I tillegg, ved å bruke eToken Properties-verktøyet, kan du raskt og enkelt overføre sertifikater mellom datamaskinen og eToken, samt importere nøkler til eToken-minnet.
"Unblock"-knappen er nødvendig hvis brukeren har glemt PIN-koden sin og ikke kan komme til eToken-administratoren (brukeren er for eksempel på forretningsreise). Ved å kontakte administratoren på e-post, vil brukeren kunne motta en heksadesimal forespørsel om dette eToken fra administratoren, generert på grunnlag av data lagret i TMS-databasen, ved å skrive inn hvilket i "svar"-feltet brukeren vil har tilgang til å endre PIN-koden.

Figur 9 Datamaskin-fanen

PIN-koden endres i henhold til fig. 10:

Figur 10 Endring av PIN-kode
Ved endring av PIN-kode er det nødvendig at den nye PIN-koden oppfyller kvalitetskravene til det angitte passordet. Passordkvaliteten kontrolleres i henhold til de angitte kriteriene.
For å sjekke om passordet samsvarer med de valgte kriteriene, skriv inn passordet på linjen. Under denne linjen vises informasjon om årsakene til at det angitte passordet ikke samsvarer med de valgte kriteriene i prosent, og også grafisk og i prosent vises kvaliteten på det angitte passordet i henhold til de valgte kriteriene.

Liste over kriterier

Tabellen viser kvalitetskriteriene for PIN-koden og deres konfigurerbare verdier. En negativ verdi uttrykt i prosent kan brukes som en kriterieverdi. Denne verdien kalles en straff.

Kriterium	Beskrivelse	Mulige verdier	Standardverdi
	PIN-koden inneholder en sekvens av tegn i alfabetisk rekkefølge
	lengden på tegnsekvensen for ABCOrder-kriteriet
	det nye passordet er likt det gjeldende
	passord fra ordboken
	det nye passordet er lik et av de forrige
DefaultPassChange	endre standardpassordet	Ingen (ingen passordendring nødvendig); Advarsel (en advarsel vises); Håndheve (standard passord kan ikke brukes)
	ordbokfil	absolutt bane til ordbokfilen	ikke spesifisert
	bare passord tall
	tilstedeværelse av to identiske symboler
	gyldighetsperiode før en advarsel vises om behovet for endring (i dager)
	maksimal gyldighetsperiode i dager		0 (ikke installert)
Tastatur nærhet	har flere tegn i samme rekkefølge som på tastaturet
KeyboardProximityBase	lengden på tegnsekvensen for KeyboardProximity-kriteriet
	passordet ligner på et ordbokpassord
	minste gyldighetsperiode i dager		0 (ikke installert)
	minimumslengde i tegn
	minimum holdbarhet i prosent
	mangel på tall
	ingen små bokstaver
	bruk av bokstaver i det russiske alfabetet, ikke-utskrift og enkelte tjenestetegn
	mangel på tegnsetting og servicesymboler
	ingen store bokstaver
Telefoner Og Serienumre	bruk av telefonnumre, serienumre osv. i passordet.
	tilstedeværelse av gjentatte tegn
	antall tidligere brukte passord lagret i eToken-minnet for verifisering ved hjelp av CheckOld-Passes-kriteriet
	passordlengden er mindre enn WarningLength
	hvis passordlengden er mindre enn WarningLength, vises en advarsel når du sjekker passordkvaliteten
	passordet inneholder mellomrom

Ordbok

For å angi en liste over ugyldige eller uønskede passord, lag en tekstfil. Eller du kan bruke såkalte frekvensordbøker, som brukes til å gjette passord. Filer av slike ordbøker kan fås fra nettstedet www.passwords.ru.
Et eksempel på en slik ordbok:
anna
annette
regning
passord
william
Tilordne "Ordbok"-kriteriet til banen til den opprettede filen. I dette tilfellet må banen til ordbokfilen på hver datamaskin samsvare med verdien av "Ordbok"-kriteriet.

Logg på Windows med eToken

Generell informasjon

eToken SecurLogon kombinerer effektiv nettverkssikkerhet med bekvemmelighet og portabilitet. Windows-autentisering bruker et brukernavn og passord som er lagret i eTokens minne. Dette gjør det mulig å bruke sterk token-basert autentisering.
Samtidig vil jeg legge til at i store selskaper som bruker en domenestruktur, er det nødvendig å tenke på implementering av PKI og sentralisert bruk av SmartCardLogon.
Når du bruker eToken SecurLogon, kan tilfeldige, komplekse passord brukes som er ukjente for noen. I tillegg kan du bruke sertifikater som er lagret i eToken-minne for smartkortbasert påmelding, noe som gjør Windows-pålogging sikrere.
Dette er gjort mulig fordi Windows 2000/XP tillater bruk av ulike tilgangsmekanismer som erstatter standard autentiseringsmetoden. Identifikasjons- og autentiseringsmekanismene for Windows-påloggingstjenesten (winlogon), som gir interaktiv pålogging, er innebygd i et utskiftbart dynamisk lenkebibliotek (DLL) kalt GINA (Graphical Identification and Authentication). Når et system trenger en annen autentiseringsmetode for å erstatte standard brukernavn/passordmekanisme, erstattes standard msgina.dll med et nytt bibliotek.
Installering av eToken SecurLogon erstatter auteog oppretter nye registerinnstillinger. GINA er ansvarlig for den interaktive tilkoblingspolitikken og foretar identifikasjon og dialog med brukeren. Ved å erstatte skrier eToken den primære autentiseringsmekanismen som utvider Windows 2000/XPs standard brukernavn/passordautentisering.
Brukere kan uavhengig registrere informasjon som kreves for å logge på Windows (profiler) i eToken-minnet hvis dette er tillatt av bedriftens sikkerhetspolicy.
Profiler kan opprettes ved hjelp av eToken Windows Logon Profile Wizard.

Starter

eToken SecurLogon autentiserer en Windows 2000/XP/2003-bruker med et eToken, ved å bruke enten brukerens smartkortsertifikat eller brukernavnet og passordet som er lagret i eTokens minne. eToken RTE inkluderer alle nødvendige filer og drivere for å støtte eToken i eToken Windows-pålogging.

Minstekrav

Betingelser for å installere eToken Windows Logon:

• eToken Runtime Environment (versjon 3.65 eller 3.65) må være installert på alle arbeidsstasjoner;
• eToken SecurLogon er installert på en datamaskin som kjører Windows 2000 (SP4), Windows XP (SP2) eller Windows 2003 (SP1). eToken SecurLogon støtter den klassiske velkomstdialogen i Windows (men ikke den nye velkomstskjermen for Windows XP) og støtter ikke rask brukerbyttemodus i Windows XP.

Støttede tokens

eToken SecurLogon støtter følgende eToken-enheter:

• eToken PRO er en USB-nøkkel som tillater tofaktorautentisering. Tilgjengelig i 32K og 64K versjoner;
• eToken NG-OTP er en hybrid av en USB-nøkkel og en enhet som genererer engangspassord. Tilgjengelig i 32K og 64K versjoner;
• eToken PRO smartkort er en enhet som utfører de samme funksjonene som en USB-nøkkel, men har form av et vanlig kredittkort. Tilgjengelig i 32K og 64K versjoner.

eToken Runtime Environment (RTE)

eToken Runtime Environment (RTE) inneholder alle filene og driverne som gir eToken-støtte i eToken Windows-pålogging. Denne suiten inkluderer også et eToken Properties-verktøy som lar brukeren enkelt administrere PIN-koden og eToken-navnet.
Alle nye eTokens har samme PIN-kode, som er satt som standard ved produksjon. Denne PIN-koden er 1234567890. For å sikre sterk tofaktorautentisering og full funksjonalitet, må brukeren erstatte standard-PIN-koden med en tilpasset PIN-kode umiddelbart etter å ha mottatt et nytt eToken.
Viktig:PIN-koden må ikke forveksles med brukerpassordet Windows .

Installasjon

Å installereeTokenWindowsLogg på:

• Logg inn som bruker med administratorrettigheter;
• dobbeltklikk SecurLogon - 2.0.0.55.msi;
• Vinduet med installasjonsveiviseren for eToken SecurLogon vises (fig. 11);
• klikk " Neste", eToken Enterprise-lisensavtalen vises;
• les avtalen, klikk på " Jegaksepterer"(Jeg godtar), og deretter " Neste";
• På slutten av installasjonen utføres en omstart.

Figur 11 SecurLogon-installasjon

Installasjon via kommandolinje:
eToken SecurLogon kan installeres ved hjelp av kommandolinjen:
msiexec /Option [valgfri parameter]
Installasjonsalternativer:

• – installasjon eller konfigurasjon av produktet;
• /a – administrativ installasjon – installasjon av produktet på nettverket;
• /j

Produktkunngjøring:

• "m" – alle brukere;
• "u" – til gjeldende bruker;
• – avbryte installasjonen av produktet.

Visningsalternativer:

• /quiet – stille modus, uten brukerinteraksjon;
• /passiv – automatisk modus – kun fremdriftslinje;
• /q – velg brukergrensesnittnivået;
• n – uten grensesnitt;
• b - hovedgrensesnitt;
• r – forkortet grensesnitt;
• f – fullt grensesnitt (standard);
• /help – viser hjelp for bruk.

Alternativer for omstart

• /norestart – ikke start på nytt etter at installasjonen er fullført;
• /promptrestart – be om ominstallering om nødvendig;
• /forcerestart – start alltid datamaskinen etter at installasjonen er fullført.

Loggalternativer
/l ;

• i – statusmeldinger;
• w – meldinger om gjenopprettbare feil;
• e – alle feilmeldinger;
• a – handling lanserer;
• r – handlingsspesifikke oppføringer;
• u – brukerforespørsler;
• c – innledende parametere for brukergrensesnittet;
• m - informasjon om utgang på grunn av utilstrekkelig minne eller fatal feil;
• o – meldinger om utilstrekkelig diskplass;
• p - terminalegenskaper;
• v - detaljert utgang;
• x – ekstra feilsøkingsinformasjon;
• + – legge til en eksisterende loggfil;
• ! – dumpe hver linje i loggen;
• * – logg all informasjon unntatt parameterne “v” og “x” /log er ekvivalent med /l* .

Oppdateringsalternativer:

• /update [;Update2.msp] – ta i bruk oppdateringer;
• /avinstaller [;Update2.msp] /pakke – avinstallerer produktoppdateringer.

Gjenopprettingsalternativer:
/f
Produktgjenoppretting:

• p – bare hvis det ikke er noen fil;
• o – hvis filen mangler eller en gammel versjon er installert (standard);
• e – hvis filen mangler eller samme eller eldre versjon er installert;
• d – hvis filen mangler eller en annen versjon er installert;;
• c – hvis filen mangler eller kontrollsummen ikke samsvarer med den beregnede verdien;
• a – forårsaker ominstallering av alle filer;
• u – alle nødvendige brukerspesifikke registerelementer (standard);
• m – alle nødvendige datamaskinspesifikke registerelementer (standard);
• s – alle eksisterende snarveier (standard);
• v – lansering fra kilde med re-caching av lokale pakker;

Angi generelle egenskaper:
Se Windows(R) Installer Developers Guide for mer informasjon om bruk av kommandolinjen.

Automatisk passordgenerering.

Når du registrerer en brukerprofil i eToken-minnet, kan et passord genereres automatisk eller legges inn manuelt. Når det genereres automatisk, genereres et tilfeldig passord på opptil 128 tegn. I dette tilfellet vil ikke brukeren kjenne passordet sitt og vil ikke kunne logge på nettverket uten eToken-nøkkelen. Kravet om å bruke kun automatisk genererte passord kan konfigureres som obligatorisk.

Bruker eToken SecurLogon

eToken SecurLogon lar brukere logge på Windows 2000/XP/2003 ved å bruke et eToken med et lagret passord.

Registrering i Windows

Du kan logge på Windows ved å bruke eToken, eller ved å skrive inn Windows-brukernavn og passord.

For å registrere deg på Windows med eToken:

1. Start datamaskinen på nytt;
2. Windows-velkomstmeldingen vises;
3. Hvis eToken allerede er tilkoblet, klikk på påloggingslinken med eToken. Hvis eToken ikke var tilkoblet, koble den til USB-porten eller kabelen. For enhver registreringsmetode vil vinduet "Logg på Windows" vises;
4. Velg en bruker og skriv inn eToken-PIN-en;
5. Klikk "OK". Du har åpnet en brukerøkt ved å bruke detaljene som er lagret i eToken-minnet.
6. Hvis du bruker eToken med et smartkortbrukersertifikat, må du bare angi eToken-PIN-en for å koble til datamaskinen.

Registrering iWindows uteneToken:

1. start datamaskinen på nytt, trykk på tastekombinasjonen CTRL+ALT+DEL, vinduet "Logg på Windows" vises;
2. Klikk "OK" - du er logget inn med brukernavn og passord.

Bytt passord

Du kan endre Windows-passordet ditt etter å ha logget på med eToken.
For å endre passordet ditt etter å ha logget på med eToken:

1. logg på med eToken;
2. klikk " CTRL+ALT+DEL", et vindu vil dukke opp" SikkerhetWindows/ WindowsSikkerhet";
3. Klikk på " Bytt passord/ EndringPassord"hvis gjeldende passord ble opprettet manuelt, vil et vindu vises" Bytt passord/ EndringPassord", men hvis gjeldende passord ble opprettet tilfeldig, gå til trinn 5;
4. Skriv inn et nytt passord i feltene " Nytt passord/ NyPassord"Og" Bekreftelse/ BekrefteNyPassord"og trykk på knappen" OK";
5. Hvis gjeldende passord ble opprettet tilfeldig, vil et nytt passord bli opprettet automatisk;
6. I dialogboksen som vises, skriv inn eToken PIN-koden og klikk på knappen OK"
7. Et bekreftelsesvindu vises.

Brukerøktbeskyttelse

Du kan bruke eToken for å sikre jobbøkten din.

Låser arbeidsstasjonen

Du kan holde datamaskinen sikker uten å logge ut ved å låse datamaskinen. Når du kobler eToken fra USB-porten eller kabelen (etter vellykket registrering), vil operativsystemet automatisk låse datamaskinen.

Slik låser du opp datamaskinen:

Når datamaskinen er låst, vil " Låser datamaskinen DatamaskinLåst". Koble eToken til en USB-port eller -kabel. I vinduet som vises, skriv inn PIN-koden i "-feltet eTokenPassord"og trykk på knappen" OK" – datamaskinen er låst opp.
Merk: hvis du trykker på " CTRL+ALT+DEL"og du skriver inn passordet, vil datamaskinen låses opp uten å bruke eToken.

Manuell fjerning

I det sjeldne tilfellet du trenger å fjerne eToken SecurLogon manuelt, gjør følgende:

• start datamaskinen på nytt og start den i sikker modus;
• registrere deg som bruker med administratorrettigheter;
• Åpne delen ved å bruke registerredigering HKEY_LOKAL_MAMEDHINE\PROGRAMVARE\Microsoft\WindowsNT\NåværendeVersjon\Winlogon og fjern parameteren " GinaDLL";
• Start datamaskinen på nytt, og neste gang du logger på Windows, vil Microsoft Windows-påloggingsvinduet vises.

Feilsøking av generelle problemer

Du må kanskje gjøre følgende for å feilsøke generelle problemer:

Problem	Løsning
Du koblet til eToken under registreringsprosessen (når " operativsystemWindows/ VelkommentilWindows") eller når datamaskinen er låst (den " Låser datamaskinen/ DatamaskinLåst"). eToken SecurLogon-vinduet vises ikke.	1. Koble alle tilkoblede smartkort (ikke bare eToken) fra datamaskinen og koble til eToken igjen. 2. Det er mulig at eToken ikke gjenkjennes av systemet etter installasjon av eToken RTE. I dette tilfellet, prøv å registrere deg manuelt ved å klikke " CTRL+ALT+DEL Koble til eToken og vent til indikatorlampen tennes.
Du koblet til eToken umiddelbart etter å ha vekket datamaskinen fra hvile- eller ventemodus. eToken SecurLogon-vinduet vises ikke .	1. Vent til indikatorlampen tennes. Vinduet " Låser opp datamaskinen/ Låse oppDatamaskin". 2. Utfør trinnene beskrevet ovenfor.
Du koblet fra eToken etter å ha gjenopptatt datamaskinen fra hvile- eller ventemodus, og datamaskinen låses ikke umiddelbart.	Vent ikke mer enn 30 sekunder til datamaskinen er låst.
I Windows 2000 tar det lang tid å logge av eller slå av datamaskinen.	Installer den nyeste oppdateringspakken.
Du koblet til et smartkort eller eToken-leser etter å ha slått på datamaskinen, og enheten gjenkjennes ikke.	Start datamaskinen på nytt etter at du har koblet til leseren.

Hvis brukeren har skrevet inn feil passord flere ganger, kan eToken bli blokkert.
For å låse opp eToken, må du utføre følgende trinn beskrevet nedenfor, og også gi brukeren en lenke til en bok om minnetrening, på en vennlig måte.

Jeg har glemt etoken-passordet mitt, hva skal jeg gjøre?

Vi er alle mennesker, vi har alle våre egne problemer og bekymringer, ofte flyr ting som vi ikke bruker ofte ut av hukommelsen, noe slikt kan være et symbol for en bruker, en rød eller blå flash-stasjon. Ikke vær opprørt, alt kan fikses.

Kjør eToken PKI Client-programmet (installer programmet om nødvendig)

Velg eToken-leseren din, og klikk deretter "Vis detaljvisning"

Klikk på knappen "Logg på med administratorrettigheter"

Skriv inn administratorpassordet, og klikk deretter " OK" . Som standard må eToken være satt til et administratorpassord 0987654321

Hvis administratorpassordet ble skrevet inn riktig, skal det vises en melding "Du er logget på med administratorrettigheter"

Klikk deretter på knappen "Angi brukerpassord"

Sett et nytt passord og klikk " OK" (vi anbefaler på det sterkeste at du spesifiserer standardpassordet 1234567890 ), for ikke å glemme.