Разблокировка устройств реализована в двух режимах:

  1. Online режим подразумевает, что рабочая станция пользователя, к которой подключено заблокированное устройство, имеет соединение с сервером Indeed CM. Соединение с сервером необходимо для проведения аутентификации пользователя при помощи ответов на секретные вопросы. Для связи рабочих станций пользователей с сервером Indeed CM при online-разблокировке рекомендуется использовать защищенное соединение (https).
  2. Разблокировка в Offline режиме осуществляется оператором Indeed CM по принципу аутентификации вида запрос-ответ (англ. challenge-response authentication mechanism).
    При исчерпании заданного числа попыток ввода PIN-кода, пользователь получает сообщение о том, что его устройство заблокировано. Вместе с сообщением пользователь получает уникальный 16-ти символьный код-запрос. Пользователю необходимо связаться с оператором системы (например, по телефону) и подтвердить свою личность.

Настройка разблокировки устройств через групповые политики

Для включения возможности online-разблокировки устройств настройте соответствующую групповую политику. Эта политика должна распространяться на рабочие станции пользователей Indeed CM.

Для добавления административных шаблонов Indeed-Id выполните следующие действия:

  1. Скопируйте содержимое каталога IndeedCM.Client\Misc\ в центральное хранилище ADMX-файлов контроллера домена C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions.

При использовании локального хранилища ADMX-файлов поместите шаблоны Indeed-Id в C:\Windows\PolicyDefinitions.

2. Откройте консоль Управление групповой политикой (Group Policy Management).
3. В дереве окна консоли создайте новый объект групповой политики, или выберите существующий.
4. Вызовите контекстное меню и выберите пункт Изменить (Edit).

5. В открывшемся Редакторе управления групповыми политиками (Group Policy Management Editor) выберите Конфигурация компьютера (Computer Configuration) > Политики (Policies) > Административные шаблоны (Administrative Templates) > Indeed CM > Client .
6. Включите политику Сервер разблокировки смарт-карт (Smart card unlocking server) и укажите её значения:

    • в параметре URL сервиса (Service URL) укажите ссылку на компонент credprovapi, размещенный на сервере Indeed CM.

      https://<FQDN сервера Indeed CM>/credprovapi

    • в параметре Проверять сертификат сервера (Verify server certificate) установите значение Да, если необходимо проводить проверку подлинности сертификата сервера. Установите Нет (значение по умолчанию), если проверку подлинности проводить не требуется.

7. Свяжите этот объект политики с группой, членами которой являются рабочие станции пользователей системы Indeed CM.
8. Нажмите Применить (Apply) и выполните обновление политик.

В случае необходимости настройте дополнительные политики, определяющие работу сервиса разблокировки:

Задать разъяснения для offline-разблокировки (Set explanations for offline unlocking)

Политика применяется к рабочим станциям пользователей. Если политика выключена или не определена, то при offline-разблокировке устройства текст разъяснения в Credential Provider не отображается.
Если политика включена то, при offline-разблокировке устройства в Credential Provider будет отображаться указанный в политике текст разъяснения. Например, контактный телефон администратора Indeed CM.

Credential Providers: Отключить обертку стандартного провайдера смарт-карт (Credential Providers: Disable smart card standard provider wrapping)

Политика применяется к рабочим станциям пользователей. Если политика выключена или не определена, пользователь имеет возможность выполнить разблокировку смарт-карты в стандартном интерфейсе входа в ОС Windows по смарт-карте.
Если политика включена, то отдельная опция для разблокировки смарт-карты будет отображаться на экране входа в ОС. Такая настройка может быть использована в ситуации, когда на рабочей станции установлено стороннее ПО, запрещающее разблокировку карты через стандартный Credential Provider.

Credential Providers: Скрывать опцию "Выключить смарт-карту" (Credential Providers: Hide the "Disable the smart card" option)

Политика применяется к рабочим станциям пользователей. Если политика выключена или не определена, пользователь имеет возможность выполнить выключение смарт-карты в интерфейсе входа в ОС Windows.
Если политика включена, то опция для выключения смарт-карты не будет отображаться на экране входа в ОС.

Настройка разблокировки устройств вне домена Windows

В случае, когда сервер Indeed CM и рабочие станции пользователей находятся вне домена Windows, путь к приложению credprovapi необходимо прописать в реестре каждой клиентской рабочей станции. Для этого создайте файл реестра (.reg) со следующим содержанием:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\IndeedCM\Client]
"CredProvAPIURL"=""
"AdminDetails"=""
"DisableServerCertificateChecking"=dword:00000000
"DisableSuspendCP"=dword:00000000
"DisableWrapperCP"=dword:00000000

В параметре CredProvAPIURL задайте адрес приложения credprovapi на сервере Indeed CM.

В параметре AdminDetails задайте текст разъяснения для пользователя.

В параметре DisableServerCertificateChecking установите значение 0 (значение по умолчанию), если необходимо проводить проверку подлинности сертификата сервера Indeed CM. Установите 1 (dword:00000001), если проверку подлинности проводить не требуется.

В параметре DisableSuspendCP установите значение 0 (значение по умолчанию), если в интерфейсе ОС необходимо отображать кнопку "Выключение смарт-карты" или значение 1 (dword:00000001), если кнопку "Выключение смарт-карты" отображать не требуется.

В параметре DisableWrapperCP установите значение 0 (значение по умолчанию), если необходимо выполнять разблокировку смарт-карты с использованием стандартного Credential Provider. Установите значение 1 (dword:00000001), если необходимо использовать отдельный Credential Provider.

Ниже приведен пример .reg-файла для сервера Indeed CM с именем машины certificatemanagerSRV, включенной проверкой подлинности сертификата сервера, отключенным отображением кнопки "Выключить смарт-карту" и включенной опцией разблокировки смарт-карты в отдельном Credential Provider на экране входа в ОС:

Пример:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\IndeedCM\Client]
"CredProvAPIURL"="https://certificatemanagerSRV/credprovapi"
"AdminDetails"="Свяжитесь с администратором по внутреннему номеру 1607"
"DisableServerCertificateChecking"=dword:00000000
"DisableSuspendCP"=dword:00000001
"DisableWrapperCP"=dword:00000001


  • No labels