Как сделать рутокен с флешки
Обновлено: 21.11.2024
Аутентификация для Windows и доступ к секретному диску с помощью ключа ruToken.
Вкратце: теперь популярное идентификационное устройство ruToken можно использовать в Rohos Logon Key и Rohos Disk в качестве единого ключа, необходимого для входа в Windows и ваших защищенных данных. Rohos Logon Key полностью работает на Windows Vista/7, а также поддерживает авторизацию для удаленных рабочих столов с помощью ruToken. Аутентификация и идентификация пользователя с помощью USB-ключей.
Устройство ruToken разработано российской компанией «Актив», которая производит семейство идентификационных устройств для авторизации пользователей на основе устройств при доступе к ИТ-ресурсам и защищенным электронным данным.
Вход в Windows с помощью ruToken.
Rohos Logon Key обеспечивает надежную двухфакторную аутентификацию, при которой пользователь может получить доступ к Windows, просто держа USB-токен и зная PIN-код. Единственное, что нужно сделать пользователю, это подключить ruToken к USB-порту и ввести PIN-код. Rohos Logon Key — единственная программа, которая полностью работает на Windows Vista/7, а также поддерживает аутентификацию для удаленных рабочих столов с помощью ruToken.
Преимущества использования ruToken с Rohos Logon:
- пароль автоматически меняется по запросу администратора,
- работает в Windows Active Directory,
- поддерживает UAC — получите пароль администратора с ruToken в диалоге запроса полномочий.
- Экстренный вход — это поможет вам войти в Windows, если вы потеряли или повредили свой ruToken. PIN-код по умолчанию — если вы установите PIN-код на 1111, тогда Rohos Logon Key не будет запрашивать PIN-код у пользователя.
- Возможность использовать несколько устройств ruToken для входа на один компьютер, и наоборот, одно устройство на несколько компьютеров.
Rohos Logon Key занимает 4 килобайта на ruToken и не конфликтует с другим программным обеспечением, использующим ruToken.
Использование ruToken и Rohos Logon Key в сети
Rohos Logon Key поддерживает работу в сети Windows Active Directory. Пакет Rohos Management Tools позволяет легко и удаленно установить программу и USB-ключ eToken на большое количество компьютеров.
Версия Rohos Management Tools включает две утилиты:
- Диспетчер ключей USB — используется для настройки всех токенов для аутентификации на сетевых рабочих станциях (создание/удаление профилей на токене, создание резервной копии, установка PIN-кода, настройка eToken на удаленных рабочих столах).
- Rohos Remote Admin — эта утилита позволяет вам изменять настройки Rohos Logon Key на удаленном компьютере, подключенном к Active Directory. Он позволяет изменить следующие настройки: разрешения на вход только с eToken, действие после удаления токена, блокировку токенов для пользователей и т. д.
При настройке ключа в программе USB Key Manager поле Домен следует оставить пустым, после чего экспортировать список ключей на целевые компьютеры.
Настройка ruToken в Rohos Logon Key:
Для начала необходимо скачать и установить драйвера ruToken с сайта производителя. Перезагрузите компьютер, чтобы новые драйверы начали работать. Запустите панель управления ruToken. Введите новый PIN-код для устройства. После этого новый PIN-код будет запрашиваться каждый раз при вызове токена.
В главном окне Rohos Logon Key откройте окно «Параметры».
Вы настраиваете ruToken непосредственно на компьютере, к которому хотите предоставить локальный или удаленный доступ, а также через подключение к удаленному рабочему столу, предоставляющее удаленному компьютеру доступ к портам локального компьютера.
Rohos Disk — защитите свои данные с помощью USB-ключа ruToken:
USB-токен ruToken также можно использовать в качестве ключа доступа к секретному диску в программе Rohos Disk. Rohos Disk предлагает удобное решение для защиты ваших данных. Секретный диск работает автономно: при входе в систему с помощью USB-ключа ruToken диск становится доступным. После извлечения USB-ключа диск больше не будет доступен. Встроенный уничтожитель файлов поможет вам переместить файлы и папки на Rohos Disk, а затем стереть оригиналы. Ярлыки документов на рабочем столе будут автоматически скрыты на Rohos диске в конце. Значок диска доступен в MS Office и других приложениях для быстрого доступа. Rohos Disk можно установить на портативную флешку для работы с секретным диском на ходу прямо с флешки.
Настройка eToken для доступа к секретному диску
Примечание: для использования eToken в Rohos Disk необходимо установить Rohos Logon Key, так как базовая настройка eToken для входа в систему выполняется в нем.
«Актив» и РЕД СОФТ сообщили о положительных результатах испытаний на совместимость электронных идентификаторов Рутокен с операционной системой РЕД ОС.
Тест продуктов Рутокен под РЕД ОС показал полную рабочую совместимость. В частности, были протестированы следующие USB-токены и смарт-карты:
● Рутокен С / Рутокен С микро;
● Рутокен Лайт / Рутокен Лайт микро;
● Рутокен Лайт SD;
● Рутокен ЭЦП/ЭЦП 2.0/ЭЦП PKI/ЭЦП микро;
● Смарт-карта Рутокен ЭЦП;
● Рутокен ЭЦП Bluetooth.
Рутокен — первая в России полностью отечественная линейка аппаратных продуктов и решений для аутентификации и электронной подписи. Ключевой носитель Рутокен применяется везде, где требуется безопасное хранение и использование паролей, цифровых сертификатов, ключей шифрования и ключей электронной подписи. Электронные идентификаторы Рутокен представлены в различных форм-факторах: от стандартного USB-токена или смарт-карты до Bluetooth-устройств. Операционная система карты Рутокен, драйвера Рутокен для Windows, Плагин Рутокен, Рутокен KeyBox внесены в Единый реестр российского программного обеспечения. Продукты и решения Рутокен имеют все необходимые сертификаты ФСБ и ФСТЭК России.
RED OS — это многопользовательская, многозадачная операционная система, основанная на ядре Linux и базе пакетов RPM, работающая на широком спектре аппаратных платформ, серверов и рабочих станций, обеспечивающая универсальную среду для приложений. РЕД ОС зарегистрирована в Едином реестре российских программ для ЭВМ и баз данных Минсвязи России (№ 3751). Соответствует требованиям информационной безопасности к профилю защиты операционных систем типа «А» четвертого класса защиты ИТ ИТ.ОС.А4.ПЗ, утвержденным приказом ФСТЭК России от 19 августа 2016 № 119. < /p>
По результатам проведенной работы производитель программного обеспечения РЕД СОФТ и компания «Актив» рекомендуют свои продукты для использования в коммерческом сегменте и для государственных заказчиков.
Владимир Иванов, директор по развитию «Актив», говорит:
"Мы сотрудничаем с РЕД СОФТ с 2015 года. Тогда было проведено первое тестирование продуктов Рутокен с операционной системой РЕД ОС и СУБД Red Database. С тех пор продукты успешно используются в проектах, требующих высокого уровень защиты данных. Наше сотрудничество продолжается, и в этом году мы решили обновить сертификат совместимости. Надеемся на дальнейшую плодотворную работу."
Рустам Рустамов, заместитель генерального директора РЕД СОФТ, говорит:
«Актив» и РЕД СОФТ — российские компании без иностранных бенефициаров, их продукция зарегистрирована в Едином реестре Минсвязи России и полностью соответствует национальным требованиям информационной безопасности, что позволяет использовать их в информатизация государственных структур. Использование сертифицированных продуктов Рутокен и операционной системы РЕД ОС позволит нашим заказчикам из бюджетной сферы оценить все преимущества отечественных решений."
DeviceLock Service может распознавать диски (USB-накопители и другие съемные устройства), на которых данные хранятся в зашифрованном виде, и применять к таким дискам так называемые «зашифрованные» разрешения (см. Категория «Зашифрованные» права). Эта функция позволяет предотвратить запись конфиденциальных данных на носитель, который не поддерживает шифрование.
Продукты и технологии шифрования, которые поддерживает DeviceLock, перечислены на панели сведений, когда в дереве консоли выбран Сервис DeviceLock > Сервисные опции > Шифрование:
• Не настроено — параметр не определен в файле настроек сервиса DeviceLock. Это состояние доступно в Редакторе настроек службы DeviceLock и Диспетчере групповой политики DeviceLock.
Чтобы включить или отключить интеграцию, щелкните правой кнопкой мыши список и выберите команду «Включить» или «Отключить». Чтобы установить состояние «Не настроено», используйте команду «Отменить определение» в Редакторе настроек службы DeviceLock и Диспетчере групповой политики DeviceLock.
На данный момент DeviceLock обеспечивает интеграцию со следующими сторонними продуктами и технологиями, используемыми для шифрования данных на съемных носителях:
Примечание: DeviceLock не поставляется со сторонними продуктами для шифрования и не требует их для собственного функционирования. Интеграция DeviceLock со сторонним продуктом шифрования будет работать только в том случае, если сторонний продукт правильно установлен, настроен и работает на компьютере, на котором работает сервис DeviceLock.
Если вы не хотите, чтобы сервис DeviceLock применял «зашифрованные» разрешения к устройствам, зашифрованным с помощью определенного продукта или технологии, перечисленных выше, отключите интеграцию с помощью команды «Отключить» для соответствующего имени на панели сведений (см. «Шифрование» ). р>
Служба DeviceLock может обнаруживать зашифрованные съемные устройства хранения DriveCrypt Plus Pack (DCPP) и применять к ним «зашифрованные» разрешения, когда продукт DriveCrypt Plus Pack установлен на компьютере, на котором запущена служба DeviceLock с включенной интеграцией для DriveCrypt.
DeviceLock Service может обнаруживать USB-накопители Lexar™ SAFE S3000 и/или SAFE S3000 FIPS и применять к ним «зашифрованные» разрешения, если включена интеграция с Lexar JD SAFE S3000 и/или Lexar JD SAFE S3000 соответственно. р>
DeviceLock Service может обнаруживать USB-накопители Lexar™ SAFE PSD S1100 и применять к ним «зашифрованные» разрешения, если включена интеграция с Lexar SAFE PSD.
DeviceLock Service может обнаруживать USB-накопители, зашифрованные с помощью Rutoken, и применять к ним «зашифрованные» разрешения, если в нем включена интеграция с Rutoken Disk.
DeviceLock Service может обнаруживать зашифрованные контейнеры SafeDisk на USB-накопителях и других съемных носителях и применять к ним «зашифрованные» разрешения, если включена интеграция с SafeDisk.
Примечание. Чтобы получить доступ к контейнерам SafeDisk и работать с их содержимым, пользователи должны иметь как минимум доступ для чтения к незашифрованным съемным устройствам.
DeviceLock Service может обнаруживать зашифрованные USB-накопители Sophos SafeGuard Easy и другие съемные носители и применять к ним «зашифрованные» разрешения, если включена интеграция с SafeGuard.
Служба DeviceLock может обнаруживать USB-накопители, зашифрованные SafeToGo™, и применять к ним «зашифрованные» разрешения, если включена интеграция с SafeToGo.
Служба DeviceLock может обнаруживать съемные устройства хранения, зашифрованные с помощью Symantec Drive Encryption, и применять к ним «зашифрованные» разрешения, если продукт Symantec Drive Encryption установлен на компьютере, на котором запущена служба DeviceLock с включенной интеграцией для Symantec Drive Encryption.
Служба DeviceLock может обнаруживать съемные устройства хранения, зашифрованные с помощью TrueCrypt, и применять к ним «зашифрованные» разрешения, когда продукт TrueCrypt установлен на компьютере, на котором запущена служба DeviceLock с включенной интеграцией для TrueCrypt.
Примечание. Если тип тома TrueCrypt — «Размещенный в файлах (контейнер)», то для доступа к этому контейнеру и работы с его содержимым пользователи должны иметь как минимум доступ для чтения к незашифрованным съемным устройствам.
Служба DeviceLock может обнаруживать зашифрованные диски BitLocker To Go и применять к ним «зашифрованные» разрешения, если включена интеграция с Windows BitLocker To Go.
Примечание. Если включена интеграция с Windows BitLocker To Go, параметр групповой политики «Запретить запись на съемные диски, не защищенные BitLocker» нельзя включить. (Этот параметр находится в папке Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Шифрование диска BitLocker\Съемные диски с данными.)
DeviceLock Service для Mac может обнаруживать внешние диски, зашифрованные FileVault, и применять к ним «зашифрованные» разрешения, если включена интеграция с Mac OS X FileVault. Интеграция с FileVault не поддерживается в операционной системе Windows, поэтому элемент Mac OS X FileVault не отображается в списке Шифрование на панели сведений, если консоль подключена к компьютеру под управлением Windows.
Если для работы используется дискета или флешка, вы можете скопировать контейнер с сертификатом средствами Windows (данный способ подходит для КриптоПро CSP версий не ниже 3.0). Поместите папку с приватным ключом (и, если есть, файл сертификата - публичный ключ) в корень дискеты/флешки (если не в корень, то работа с сертификатом будет невозможна) . Не рекомендуется изменять имя папки при копировании.
Папка с закрытым ключом должна содержать 6 файлов с расширением .key. Как правило, закрытый ключ содержит открытый ключ (файл header.key в этом случае будет весить более 1 КБ). В этом случае копирование открытого ключа необязательно. Примером закрытого ключа является папка с шестью файлами, а открытым ключом является файл .cer.
Закрытый ключ Открытый ключ
Копировать диагностический профиль
<р>1. Перейдите в профиль диагностики "Копировать" по ссылке. <р>2. Вставьте носитель, на который вы хотите скопировать сертификат. <р>3. Нажмите кнопку "Копировать" на нужном сертификате.
Если для контейнера установлен пароль, появится сообщение "Введите пароль для устройства, с которого будет скопирован сертификат".
<р>4. Выберите носитель, на который вы хотите скопировать сертификат, и нажмите «Далее».
<р>5. Дайте имя новому контейнеру и нажмите кнопку «Далее».
<р>6. Должно появиться сообщение о том, что сертификат успешно скопирован.
Массовое копирование
- Загрузите и запустите утилиту. Дождитесь загрузки всего списка контейнеров/сертификатов и отметьте нужные галочки.
- Выберите меню "Массовые действия" и нажмите кнопку "Копировать контейнеры".
<р>3. Выберите носитель для копии контейнера и нажмите OK. При копировании в реестр можно поставить галочку "Копировать в ключевой контейнер компьютера", тогда после копирования контейнер будет доступен всем пользователям этого компьютера.
4. После копирования нажмите кнопку «Обновить» внизу слева.
Если вы хотите работать со скопированными контейнерами, вы должны это сделать.
Копирование с помощью КриптоПро CSP
Пожалуйста, выберите Пуск> Панель управления> КриптоПро CSP. Перейдите на вкладку "Сервис" и нажмите на кнопку "Копировать".
В окне «Копировать контейнер закрытого ключа» нажмите кнопку «Обзор».
Выберите контейнер, который хотите скопировать, и нажмите кнопку "ОК", затем "Далее". При копировании с руткена появится окно ввода, в котором следует ввести пин-код. Если вы не изменили PIN-код на операторе связи, стандартный PIN-код — 12345678.
Создайте и вручную укажите имя для нового контейнера. В названии контейнера допускается русская раскладка и пробелы. Затем нажмите Готово.
В окне "Вставить пустой ключевой носитель" выберите носитель, на который будет помещен новый контейнер.
Новому контейнеру будет предложено установить пароль. Рекомендуем установить такой пароль, чтобы вам было легко его запомнить, а посторонние не смогли его подобрать или угадать. Если вы не хотите устанавливать пароль, вы можете оставить поле пустым и нажать «ОК».
Не храните свой пароль/пин-код в местах, доступных для посторонних лиц. Если вы потеряете пароль/пин-код, вы не сможете использовать контейнер.
Если скопировать контейнер на ruToken, то сообщение звучит иначе. Введите пин-код в окно ввода. Если вы не изменили PIN-код на операторе связи, стандартный PIN-код — 12345678.
После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать новый ключевой контейнер для работы в Extern,.
Изначально электронная подпись (ЭП) выдается на физическом носителе под названием RuToken или EToken. Он хранит сертификат (он же открытый ключ, как я понимаю) и секретный (он же закрытый) ключ. Эта пара ключей объединена контейнером ключей. На одном физическом носителе может быть несколько ключевых контейнеров. По истечении срока действия сертификата он перевыпускается вместе с секретным ключом, то есть заново создается пара ключей: закрытый и открытый.
Так о чем я, в офисе стоит Рутокен с ЭЦП, одновременно нескольким сотрудникам он может понадобиться для подписи документов и тут начинаются конфликты. Но на самом деле не все так печально, если ключевой контейнер позволяет себя экспортировать, то его можно разместить из Рутокена в Реестр! Разместив контейнер в реестре и указав в сертификате, что закрытый ключ хранится в реестре по такому-то адресу, присутствие Рутокена в USB-порту исчезает.
Как это делается
Естественно, первым делом вставляем Рутокен в USB-порт. Запускаем КриптоПро CSP от имени АДМИНИСТРАТОРА и проверяем, какие носители доступны:
Если ридер есть в списке Registry, то все нормально, иначе нажимаем кнопку Добавить и с помощью в мастере установки ридера добавьте Реестр.
Далее следует протестировать контейнер ключа:
Если экспорт ключа разрешен, то приступаем к копированию ключа! Перейдите в интерфейс копирования ключей Сервис -> Копировать, выберите имя контейнера ключей, который хранится на Рутокен. Обратите внимание на настройку, если установить User, то в браузере отобразятся контейнеры ключей из реестра, экспортированные ранее для текущего пользователя ОС, если установить Computer, то будут отображаться контейнеры, экспортированные ранее для компьютера. Скопируем для пользователя: