Как сделать рутокен с флешки
Обновлено: 02.07.2024
Аутентификация для Windows и доступ к секретному диску с помощью ключа ruToken.
Вкратце: теперь популярное идентификационное устройство ruToken можно использовать в Rohos Logon Key и Rohos Disk в качестве единого ключа, необходимого для входа в Windows и ваших защищенных данных. Rohos Logon Key полностью работает на Windows Vista/7, а также поддерживает авторизацию для удаленных рабочих столов с помощью ruToken. Аутентификация и идентификация пользователя с помощью USB-ключей.
Устройство ruToken разработано российской компанией «Актив», которая производит семейство идентификационных устройств для авторизации пользователей на основе устройств при доступе к ИТ-ресурсам и защищенным электронным данным.
Вход в Windows с помощью ruToken.
Rohos Logon Key обеспечивает надежную двухфакторную аутентификацию, при которой пользователь может получить доступ к Windows, просто держа USB-токен и зная PIN-код. Единственное, что нужно сделать пользователю, это подключить ruToken к USB-порту и ввести PIN-код. Rohos Logon Key — единственная программа, которая полностью работает на Windows Vista/7, а также поддерживает аутентификацию для удаленных рабочих столов с помощью ruToken.
Преимущества использования ruToken с Rohos Logon:
- пароль автоматически меняется по запросу администратора,
- работает в Windows Active Directory,
- поддерживает UAC — получите пароль администратора с ruToken в диалоге запроса полномочий.
- Экстренный вход — это поможет вам войти в Windows, если вы потеряли или повредили свой ruToken. PIN-код по умолчанию — если вы установите PIN-код на 1111, тогда Rohos Logon Key не будет запрашивать PIN-код у пользователя.
- Возможность использовать несколько устройств ruToken для входа на один компьютер, и наоборот, одно устройство на несколько компьютеров.
Rohos Logon Key занимает 4 килобайта на ruToken и не конфликтует с другим программным обеспечением, использующим ruToken.
Использование ruToken и Rohos Logon Key в сети
Rohos Logon Key поддерживает работу в сети Windows Active Directory. Пакет Rohos Management Tools позволяет легко и удаленно установить программу и USB-ключ eToken на большое количество компьютеров.
Версия Rohos Management Tools включает две утилиты:
- Диспетчер ключей USB — используется для настройки всех токенов для аутентификации на сетевых рабочих станциях (создание/удаление профилей на токене, создание резервной копии, установка PIN-кода, настройка eToken на удаленных рабочих столах).
- Rohos Remote Admin — эта утилита позволяет вам изменять настройки Rohos Logon Key на удаленном компьютере, подключенном к Active Directory. Он позволяет изменить следующие настройки: разрешения на вход только с eToken, действие после удаления токена, блокировку токенов для пользователей и т. д.
При настройке ключа в программе USB Key Manager поле Домен следует оставить пустым, после чего экспортировать список ключей на целевые компьютеры.
Настройка ruToken в Rohos Logon Key:
Для начала необходимо скачать и установить драйвера ruToken с сайта производителя. Перезагрузите компьютер, чтобы новые драйверы начали работать. Запустите панель управления ruToken. Введите новый PIN-код для устройства. После этого новый PIN-код будет запрашиваться каждый раз при вызове токена.
В главном окне Rohos Logon Key откройте окно «Параметры».
Вы настраиваете ruToken непосредственно на компьютере, к которому хотите предоставить локальный или удаленный доступ, а также через подключение к удаленному рабочему столу, предоставляющее удаленному компьютеру доступ к портам локального компьютера.
Rohos Disk — защитите свои данные с помощью USB-ключа ruToken:
USB-токен ruToken также можно использовать в качестве ключа доступа к секретному диску в программе Rohos Disk. Rohos Disk предлагает удобное решение для защиты ваших данных. Секретный диск работает автономно: при входе в систему с помощью USB-ключа ruToken диск становится доступным. После извлечения USB-ключа диск больше не будет доступен. Встроенный уничтожитель файлов поможет вам переместить файлы и папки на Rohos Disk, а затем стереть оригиналы. Ярлыки документов на рабочем столе будут автоматически скрыты на Rohos диске в конце. Значок диска доступен в MS Office и других приложениях для быстрого доступа. Rohos Disk можно установить на портативную флешку для работы с секретным диском на ходу прямо с флешки.
Настройка eToken для доступа к секретному диску
Примечание: для использования eToken в Rohos Disk необходимо установить Rohos Logon Key, так как базовая настройка eToken для входа в систему выполняется в нем.
«Актив» и РЕД СОФТ сообщили о положительных результатах испытаний на совместимость электронных идентификаторов Рутокен с операционной системой РЕД ОС.
Тест продуктов Рутокен под РЕД ОС показал полную рабочую совместимость. В частности, были протестированы следующие USB-токены и смарт-карты:
● Рутокен С / Рутокен С микро;
● Рутокен Лайт / Рутокен Лайт микро;
● Рутокен Лайт SD;
● Рутокен ЭЦП/ЭЦП 2.0/ЭЦП PKI/ЭЦП микро;
● Смарт-карта Рутокен ЭЦП;
● Рутокен ЭЦП Bluetooth.
Рутокен — первая в России полностью отечественная линейка аппаратных продуктов и решений для аутентификации и электронной подписи. Ключевой носитель Рутокен применяется везде, где требуется безопасное хранение и использование паролей, цифровых сертификатов, ключей шифрования и ключей электронной подписи. Электронные идентификаторы Рутокен представлены в различных форм-факторах: от стандартного USB-токена или смарт-карты до Bluetooth-устройств. Операционная система карты Рутокен, драйвера Рутокен для Windows, Плагин Рутокен, Рутокен KeyBox внесены в Единый реестр российского программного обеспечения. Продукты и решения Рутокен имеют все необходимые сертификаты ФСБ и ФСТЭК России.
RED OS — это многопользовательская, многозадачная операционная система, основанная на ядре Linux и базе пакетов RPM, работающая на широком спектре аппаратных платформ, серверов и рабочих станций, обеспечивающая универсальную среду для приложений. РЕД ОС зарегистрирована в Едином реестре российских программ для ЭВМ и баз данных Минсвязи России (№ 3751). Соответствует требованиям информационной безопасности к профилю защиты операционных систем типа «А» четвертого класса защиты ИТ ИТ.ОС.А4.ПЗ, утвержденным приказом ФСТЭК России от 19 августа 2016 № 119. < /p>
По результатам проведенной работы производитель программного обеспечения РЕД СОФТ и компания «Актив» рекомендуют свои продукты для использования в коммерческом сегменте и для государственных заказчиков.
Владимир Иванов, директор по развитию «Актив», говорит:
"Мы сотрудничаем с РЕД СОФТ с 2015 года. Тогда было проведено первое тестирование продуктов Рутокен с операционной системой РЕД ОС и СУБД Red Database. С тех пор продукты успешно используются в проектах, требующих высокого уровень защиты данных. Наше сотрудничество продолжается, и в этом году мы решили обновить сертификат совместимости. Надеемся на дальнейшую плодотворную работу."
Рустам Рустамов, заместитель генерального директора РЕД СОФТ, говорит:
«Актив» и РЕД СОФТ — российские компании без иностранных бенефициаров, их продукция зарегистрирована в Едином реестре Минсвязи России и полностью соответствует национальным требованиям информационной безопасности, что позволяет использовать их в информатизация государственных структур. Использование сертифицированных продуктов Рутокен и операционной системы РЕД ОС позволит нашим заказчикам из бюджетной сферы оценить все преимущества отечественных решений."
DeviceLock Service может распознавать диски (USB-накопители и другие съемные устройства), на которых данные хранятся в зашифрованном виде, и применять к таким дискам так называемые «зашифрованные» разрешения (см. Категория «Зашифрованные» права). Эта функция позволяет предотвратить запись конфиденциальных данных на носитель, который не поддерживает шифрование.
Продукты и технологии шифрования, которые поддерживает DeviceLock, перечислены на панели сведений, когда в дереве консоли выбран Сервис DeviceLock > Сервисные опции > Шифрование:
< /p>
• Не настроено — параметр не определен в файле настроек сервиса DeviceLock. Это состояние доступно в Редакторе настроек службы DeviceLock и Диспетчере групповой политики DeviceLock.
Чтобы включить или отключить интеграцию, щелкните правой кнопкой мыши список и выберите команду «Включить» или «Отключить». Чтобы установить состояние «Не настроено», используйте команду «Отменить определение» в Редакторе настроек службы DeviceLock и Диспетчере групповой политики DeviceLock.
На данный момент DeviceLock обеспечивает интеграцию со следующими сторонними продуктами и технологиями, используемыми для шифрования данных на съемных носителях:
Примечание: DeviceLock не поставляется со сторонними продуктами для шифрования и не требует их для собственного функционирования. Интеграция DeviceLock со сторонним продуктом шифрования будет работать только в том случае, если сторонний продукт правильно установлен, настроен и работает на компьютере, на котором работает сервис DeviceLock.
Если вы не хотите, чтобы сервис DeviceLock применял «зашифрованные» разрешения к устройствам, зашифрованным с помощью определенного продукта или технологии, перечисленных выше, отключите интеграцию с помощью команды «Отключить» для соответствующего имени на панели сведений (см. «Шифрование» ). р>
Служба DeviceLock может обнаруживать зашифрованные съемные устройства хранения DriveCrypt Plus Pack (DCPP) и применять к ним «зашифрованные» разрешения, когда продукт DriveCrypt Plus Pack установлен на компьютере, на котором запущена служба DeviceLock с включенной интеграцией для DriveCrypt.
DeviceLock Service может обнаруживать USB-накопители Lexar™ SAFE S3000 и/или SAFE S3000 FIPS и применять к ним «зашифрованные» разрешения, если включена интеграция с Lexar JD SAFE S3000 и/или Lexar JD SAFE S3000 соответственно. р>
DeviceLock Service может обнаруживать USB-накопители Lexar™ SAFE PSD S1100 и применять к ним «зашифрованные» разрешения, если включена интеграция с Lexar SAFE PSD.
DeviceLock Service может обнаруживать USB-накопители, зашифрованные с помощью Rutoken, и применять к ним «зашифрованные» разрешения, если в нем включена интеграция с Rutoken Disk.
DeviceLock Service может обнаруживать зашифрованные контейнеры SafeDisk на USB-накопителях и других съемных носителях и применять к ним «зашифрованные» разрешения, если включена интеграция с SafeDisk.
Примечание. Чтобы получить доступ к контейнерам SafeDisk и работать с их содержимым, пользователи должны иметь как минимум доступ для чтения к незашифрованным съемным устройствам.
DeviceLock Service может обнаруживать зашифрованные USB-накопители Sophos SafeGuard Easy и другие съемные носители и применять к ним «зашифрованные» разрешения, если включена интеграция с SafeGuard.
Служба DeviceLock может обнаруживать USB-накопители, зашифрованные SafeToGo™, и применять к ним «зашифрованные» разрешения, если включена интеграция с SafeToGo.
Служба DeviceLock может обнаруживать съемные устройства хранения, зашифрованные с помощью Symantec Drive Encryption, и применять к ним «зашифрованные» разрешения, если продукт Symantec Drive Encryption установлен на компьютере, на котором запущена служба DeviceLock с включенной интеграцией для Symantec Drive Encryption.
Служба DeviceLock может обнаруживать съемные устройства хранения, зашифрованные с помощью TrueCrypt, и применять к ним «зашифрованные» разрешения, когда продукт TrueCrypt установлен на компьютере, на котором запущена служба DeviceLock с включенной интеграцией для TrueCrypt.
Примечание. Если тип тома TrueCrypt — «Размещенный в файлах (контейнер)», то для доступа к этому контейнеру и работы с его содержимым пользователи должны иметь как минимум доступ для чтения к незашифрованным съемным устройствам.
Служба DeviceLock может обнаруживать зашифрованные диски BitLocker To Go и применять к ним «зашифрованные» разрешения, если включена интеграция с Windows BitLocker To Go.
Примечание. Если включена интеграция с Windows BitLocker To Go, параметр групповой политики «Запретить запись на съемные диски, не защищенные BitLocker» нельзя включить. (Этот параметр находится в папке Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Съемные диски с данными.)
DeviceLock Service для Mac может обнаруживать внешние диски, зашифрованные FileVault, и применять к ним «зашифрованные» разрешения, если включена интеграция с Mac OS X FileVault. Интеграция с FileVault не поддерживается в операционной системе Windows, поэтому элемент Mac OS X FileVault не отображается в списке Шифрование на панели сведений, если консоль подключена к компьютеру под управлением Windows.
Если для работы используется дискета или флешка, вы можете скопировать контейнер с сертификатом средствами Windows (данный способ подходит для КриптоПро CSP версий не ниже 3.0). Поместите папку с приватным ключом (и, если есть, файл сертификата - публичный ключ) в корень дискеты/флешки (если не в корень, то работа с сертификатом будет невозможна) . Не рекомендуется изменять имя папки при копировании.
Папка с закрытым ключом должна содержать 6 файлов с расширением .key. Как правило, закрытый ключ содержит открытый ключ (файл header.key в этом случае будет весить более 1 КБ). В этом случае копирование открытого ключа необязательно. Примером закрытого ключа является папка с шестью файлами, а открытым ключом является файл .cer.
< /p>
Закрытый ключ Открытый ключ
Копировать диагностический профиль
<р>1. Перейдите в профиль диагностики "Копировать" по ссылке. <р>2. Вставьте носитель, на который вы хотите скопировать сертификат. <р>3. Нажмите кнопку "Копировать" на нужном сертификате.Если для контейнера установлен пароль, появится сообщение "Введите пароль для устройства, с которого будет скопирован сертификат".
Массовое копирование
- Загрузите и запустите утилиту. Дождитесь загрузки всего списка контейнеров/сертификатов и отметьте нужные галочки.
- Выберите меню "Массовые действия" и нажмите кнопку "Копировать контейнеры".
4. После копирования нажмите кнопку «Обновить» внизу слева.
Если вы хотите работать со скопированными контейнерами, вы должны это сделать.
Копирование с помощью КриптоПро CSP
Пожалуйста, выберите Пуск> Панель управления> КриптоПро CSP. Перейдите на вкладку "Сервис" и нажмите на кнопку "Копировать".
В окне «Копировать контейнер закрытого ключа» нажмите кнопку «Обзор».
Выберите контейнер, который хотите скопировать, и нажмите кнопку "ОК", затем "Далее". При копировании с руткена появится окно ввода, в котором следует ввести пин-код. Если вы не изменили PIN-код на операторе связи, стандартный PIN-код — 12345678.
Создайте и вручную укажите имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем нажмите Готово.
В окне "Вставить пустой ключевой носитель" выберите носитель, на который будет помещен новый контейнер.
Новому контейнеру будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, а посторонние не смогли его подобрать или угадать. Если вы не хотите устанавливать пароль, вы можете оставить поле пустым и нажать «ОК».
Не храните свой пароль/пин-код в местах, доступных для посторонних лиц. Если вы потеряете пароль/пин-код, вы не сможете использовать контейнер.
Если скопировать контейнер на ruToken, то сообщение звучит иначе. Введите пин-код в окно ввода. Если вы не изменили PIN-код на операторе связи, стандартный PIN-код — 12345678.
После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать новый ключевой контейнер для работы в Extern,.
Изначально электронная подпись (ЭП) выдается на физическом носителе под названием RuToken или EToken. Он хранит сертификат (он же открытый ключ, как я понимаю) и секретный (он же закрытый) ключ. Эта пара ключей объединена контейнером ключей. На одном физическом носителе может быть несколько ключевых контейнеров. По истечении срока действия сертификата он перевыпускается вместе с секретным ключом, то есть заново создается пара ключей: закрытый и открытый.
Так о чем я, в офисе стоит Рутокен с ЭЦП, одновременно нескольким сотрудникам он может понадобиться для подписи документов и тут начинаются конфликты. Но на самом деле не все так печально, если ключевой контейнер позволяет себя экспортировать, то его можно разместить из Рутокена в Реестр! Разместив контейнер в реестре и указав в сертификате, что закрытый ключ хранится в реестре по такому-то адресу, присутствие Рутокена в USB-порту исчезает.
Как это делается
Естественно, первым делом вставляем Рутокен в USB-порт. Запускаем КриптоПро CSP от имени АДМИНИСТРАТОРА и проверяем, какие носители доступны:
Если ридер есть в списке Registry, то все нормально, иначе нажимаем кнопку Добавить и с помощью в мастере установки ридера добавьте Реестр.
Далее следует протестировать контейнер ключа:
Если экспорт ключа разрешен, то приступаем к копированию ключа! Перейдите в интерфейс копирования ключей Сервис -> Копировать, выберите имя контейнера ключей, который хранится на Рутокен. Обратите внимание на настройку, если установить User, то в браузере отобразятся контейнеры ключей из реестра, экспортированные ранее для текущего пользователя ОС, если установить Computer, то будут отображаться контейнеры, экспортированные ранее для компьютера. Скопируем для пользователя:
Выбор контейнера для копирования |
После выбора считывателя установите новый пароль для нового скопированного контейнера ключей, на этом экспорт завершен. Чтобы сертификат ссылался на секретный ключ, хранящийся в реестре, просто переустановите сертификат. Изначально электронная подпись (ЭП) оформляется на физическом носителе под названием RuToken или EToken. Он хранит сертификат (он же открытый ключ, как я понимаю) и секретный (он же закрытый) ключ. Эта пара ключей объединена контейнером ключей. На одном физическом носителе может быть несколько ключевых контейнеров. По истечении срока действия сертификата он перевыпускается вместе с секретным ключом, то есть заново создается пара ключей: закрытый и открытый.
Так о чем я, в офисе стоит Рутокен с ЭЦП, одновременно нескольким сотрудникам он может понадобиться для подписи документов и тут начинаются конфликты. Но на самом деле не все так печально, если ключевой контейнер позволяет себя экспортировать, то его можно разместить из Рутокена в Реестр! Поместив контейнер в реестр и указав в сертификате, что закрытый ключ хранится в реестре по такому-то адресу, присутствие Рутокена в USB-порту исчезает.
Как это делается
Естественно, первым делом вставляем Рутокен в USB-порт. Запускаем КриптоПро CSP от имени АДМИНИСТРАТОРА и проверяем, какие носители доступны:
Если ридер есть в списке Registry, то все нормально, иначе нажимаем кнопку Добавить и с помощью в мастере установки ридера добавьте Реестр.
Далее следует протестировать контейнер ключа:
Если экспорт ключа разрешен, то приступаем к копированию ключа! Перейдите в интерфейс копирования ключей Сервис -> Копировать, выберите имя контейнера ключей, который хранится на Рутокен. Обратите внимание на настройку, если установить User, то в браузере отобразятся контейнеры ключей из реестра, экспортированные ранее для текущего пользователя ОС, если установить Computer, то будут отображаться контейнеры, экспортированные ранее для компьютера. Скопируем для пользователя:
Читайте также: