我正在寻找有关如何使用智能卡保护 Windows 笔记本电脑的详细信息。
场景是我们在车辆中有笔记本电脑,它们通过互联网远程连接(通过 https)到应用程序服务器。计划和支付应用程序在笔记本电脑上运行。在客户位置执行工作时,操作员通常远离车辆。
要使用该系统,操作员应将其智能卡插入笔记本电脑的读卡器中。这应该解锁笔记本电脑。我希望应用程序服务器具有使用智能卡以某种方式存储(或激活)的客户端证书。因此,如果车辆/笔记本电脑被盗或被盗,小偷无法在没有智能卡的情况下访问服务器。
当然,我们可以在发现笔记本电脑被盗后停用用户帐户/吊销证书,但在此期间可能会出现未经授权的访问。
在理想情况下,我会喜欢无线(蓝牙?)智能卡,因此操作员实际上不必插入任何卡,只需靠近即可。(如:黑莓+RIM蓝牙智能卡读卡器)
假设笔记本电脑在 Windows 下运行,您将需要以下内容:
用于初始化和管理智能卡的PKI 解决方案;每张智能卡都将包含一个私钥和相关的证书;
启用智能卡登录,以便用户使用智能卡而不是密码在笔记本电脑上打开会话(智能卡本身需要输入 PIN 码);
设置本地策略,在移除卡时锁定笔记本电脑(这很容易);
在 HTTPS 服务器上激活基于证书的客户端身份验证(如果服务器是 IIS,请参阅此内容)。
我已经用那种卡片完成了所有这些;它们有多种形式,包括“USB 密钥”(实际上是带有嵌入式智能卡的基于 USB 的智能卡读卡器),因为所有笔记本电脑都有 USB 端口,所以很方便。最大的成本是 PKI;不是真正的软件,特别是因为有免费的 PKI(顺便说一下,你会想看看这个)。PKI 的 95% 是程序,即人们花一些时间做事并检查他们是否做对并审核其他人做事是否正确。