Windows 7 Smart Card Logon

Windows 7. Logon. Cartão de Cidadão. EIDAuthenticate

Na sequência do que prometi ontem, sobre o relato dos testes à utilização do CC como credencial para autenticação no Windows, seguem uns parágrafos que descrevem a experiência:

  1. O hardware
  2. O software
  3. O modelo de autenticação
    • Local. O computador não foi associado a um domínio Windows nem a um realm Kerberos.
  4. A instalação
    • Se o leitor de cartões não for reconhecido automaticamente pelo Windows, transferir e instalar o driver do leitor. Neste contexto não foi necessário mas, claro, depende do dispositivo que utilizarem;
    • Transferir e instalar a aplicação do CC, disponível no espaço do Cartão de Cidadão. Escolher a versão correcta para o sistema operativo que estiverem a usar. Neste caso, transferi a versão de 32 bits (v1.24.1), de Junho de 2011; e
    • Transferir e instalar o EID Autenthicate, disponível na SourceForge. Novamente, escolham a versão adequada para o vosso sistema operativo (32 ou 64 bits). Nesta experiência, usei a versão de 32.
  5. A associação do CC a uma conta local
    • Entrar em sessão com a conta que vamos associar ao CC;
    • Abrir o "Painel de Controlo → Sistema e Segurança → Smart Card Logon";
    • Escolher a opção "Use preconfigured card" e introduzir o CC no leitor;
    • Seleccionar um dos certificados (e.g., o primeiro), activar a utilização da chave e confiar nesse certificado; e, por último,
    • Introduzir a password actual da conta seleccionada e lançar o teste final.
  6. A associação a outras contas
    • Repetir o procedimento anterior para cada conta e CC que forem necessários.
  7. O teste
    • Retirar o CC do leitor e terminar a sessão actual; e
    • Voltar a introduzir o cartão. Se estiver bem configurado, será pedido o PIN do cartão e estabelecida uma nova sessão na conta que foi associada.
  8. Os outros parâmetros
    • Abrir o "Painel de Controlo → Sistema e Segurança";
    • Escolher "Turn the removal policy on or off" e definir o comportamento do sistema quando o cartão é retirado no meio de uma sessão. A escolha depende da política que quiserem instituir. É habitual trancar o computador quando é retirado o cartão;
    • Escolher "Turn the force smart card policy on or off". Este parâmetro é tão importante quanto perigoso: Se estiver inactivo, as passwords ainda são válidas para entrar em sessão; se estiver activo, as sessões dependem exclusivamente da utilização dos cartões. Neste último caso, se perderem o cartão, preparem-se para formatar a máquina.
  9. A análise da experiência
    • A coisa funciona : )
  10. As nuances
    • As passwords não fazem nem são o sumo; o sumo é composto pela informação contida nos computadores. Ou seja, dito de outra forma, apesar do controlo de acessos ser importante para restringir o acesso à informação (e, neste caso, o CC é um bom controlo), este mecanismo tem que ser complementado com a cifra total do disco, activada com o BitLocker (e um Trusted Platform Module) ou uma solução como o TrueCrypt;
    • Se mantivermos o acesso através das passwords, os ataques serão dirigidos ás passwords e o controlo pelo cartão torna-se irrelevante. No entanto, se obrigarmos a utilização exclusiva dos cartões, temos que garantir, no mínimo, que existem cópias da informação em dispositivos externos ao computador. Porquê? Porque podemos perder o acesso à máquina se perdemos o cartão.
  11. As recomendações
    • A utilização deste controlo não é adequada para todos – todos – os cenários. Depende da análise do risco em cada situação, considerando, no mínimo, o tipo de informação guardada em cada máquina, e a eventual indisponibilidade por perca dos cartões;
    • Nos cenários em que este controlo for adoptado devemos (i) desactivar as passwords, (ii) cifrar totalmente o disco; e (iii) fazer cópias regulares da informação, cifradas com uma chave própria, independente do computador e dos cartões; e devemos
    • Criar duas contas de administração e associar dois CCs;
  12. Os cenários interessantes
    • Contas em máquinas de controlo do IT;
    • Contas locais de administração de estações ou servidores;
    • Contas em máquinas partilhadas em consultórios médicos;
    • Etc (porque a lista seria interminável e já não tenho tempo : ) ... )

E pronto. Está feito. A ver se continuo as experiências com outras máquinas (ou com a mesma, mas num domínio), com outros sistemas operativos, e, também, com outras aplicações externas, e.g. na web.

Comentários, correcções e sugestões? Be my guests ; )

Post-scriptum @ 20 de Janeiro de 2012: Já está disponível um artigo sobre a autenticação com o CC num Domínio Microsoft. Por aqui: miguelalmeida.pt/...