Indeed CM Client Tools
Indeed CM Client Tools – клиентский компонент Indeed CM, необходимый для разблокировки устройств, которые используются для аутентификации в ОС Windows в режимах онлайн и офлайн, и для разблокировки устройств, которые не используются для входа в ОС.
Установите Indeed CM Client Tools на рабочие станции пользователей. Запустите файл IndeedCM.Client.Tools-<номер версии>.ru-ru.msi из каталога IndeedCM.Client дистрибутива системы и выполните установку, следуя указаниям мастера.
Разблокировка устройств реализована в двух режимах: онлайн и офлайн.
- Онлайн
- Офлайн
В онлайн-режиме рабочая станция пользователя, к которой подключено заблокированное устройство, имеет соединение с сервером Indeed CM. Соединение с сервером необходимо для аутентификации пользователя с помощью ответов на секретные вопросы.
Для связи рабочих станций пользователей с сервером Indeed CM при онлайн-разблокировке рекомендуется использовать защищенное соединение https.
В офлайн-режиме оператор Indeed CM разблокирует устройство по принципу аутентификации вида запрос-ответ (challenge-response authentication mechanism).
При исчерпании заданного числа попыток ввода PIN-кода пользователь получает сообщение о блокировке устройства и уникальный 16-символьный код-запрос. Пользователю необходимо связаться с оператором системы (например, по телефону) и подтвердить свою личность.
Настройка онлайн-разблокировки устройств
Настройте разблокировку устройств через групповые политики или реестр Windows (для рабочих станций вне домена Windows).
- Групповые политики
- Реестр Windows
Для включения возможности онлайн-разблокировки устройств настройте соответствующую групповую политику. Эта политика должна распространяться на рабочие станции пользователей Indeed CM.
Добавьте административные шаблоны компании Индид:
- Скопируйте содержимое каталога IndeedCM.Client\Misc\ в центральное хранилище ADMX-файлов контроллера домена C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions.
При использовании локального хранилища ADMX-файлов поместите шаблоны компании Индид в C:\Windows\PolicyDefinitions.
- Откройте консоль Управление групповой политикой (Group Policy Management).
- В дереве окна консоли создайте новый объект групповой политики, или выберите существующий.
- Вызовите контекстное меню и выберите пункт Изменить (Edit).
- В открывшемся Редакторе управления групповыми политиками (Group Policy Management Editor) выберите Конфигурация компьютера (Computer Configuration)→Политики (Policies) →Административные шаблоны (Administrative Templates)→Indeed CM→Client .
- Включите политику Сервер разблокировки смарт-карт (Smart card unlocking server) и укажите её значения:
в параметре URL сервиса (Service URL) укажите ссылку на компонент credprovapi, размещенный на сервере Indeed CM: https://<FQDN сервера Indeed CM>/cm/credprovapi.
в параметре Проверять сертификат сервера (Verify server certificate) установите значение Да, если необходимо проводить проверку подлинности сертификата сервера. Установите Нет (значение по умолчанию), если проверку подлинности проводить не требуется.
- Свяжите этот объект политики с группой, членами которой являются рабочие станции пользователей системы Indeed CM.
- Нажмите Применить (Apply) и обновите политики.
При необходимости настройте дополнительные политики, определяющие работу сервиса разблокировки.
Дополнительные политики сервиса разблокировки
| Политика | Параметры |
|---|---|
| Задать разъяснения для офлайн-разблокировки (Set explanations for offline unlocking) | Политика применяется к рабочим станциям пользователей. Если политика выключена или не определена, то при офлайн-разблокировке устройства текст разъяснения в Credential Provider не отображается. Если политика включена,то при офлайн-разблокировке устройства в Credential Provider будет отображаться указанный в политике текст разъяснения. Например, контактный телефон администратора Indeed CM. |
| Credential Providers: Отключить обертку стандартного провайдера смарт-карт (Credential Providers: Disable smart card standard provider wrapping) | Политика применяется к рабочим станциям пользователей. Если политика выключена или не определена, пользователь имеет возможность выполнить разблокировку смарт-карты в стандартном интерфейсе входа в ОС Windows по смарт-карте. Если политика включена, то отдельная опция для разблокировки смарт-карты будет отображаться на экране входа в ОС. Такая настройка может быть использована в ситуации, когда на рабочей станции установлено стороннее ПО, запрещающее разблокировку карты через стандартный Credential Provider. |
| Credential Providers: Скрывать опцию "Выключить смарт-карту" (Credential Providers: Hide the "Disable the smart card" option) | Политика применяется к рабочим станциям пользователей. Если политика выключена или не определена, пользователь имеет возможность выполнить выключение смарт-карты в интерфейсе входа в ОС Windows. Если политика включена, то опция для выключения смарт-карты не будет отображаться на экране входа в ОС. |
Если сервер Indeed CM и рабочие станции пользователей находятся вне домена Windows, пропишите путь к приложению credprovapi в реестре каждой клиентской рабочей станции.
Для этого создайте файл реестра REG со следующим содержанием:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\IndeedCM\Client]
"CredProvAPIURL"=""
"AdminDetails"=""
"DisableServerCertificateChecking"=dword:00000000
"DisableSuspendCP"=dword:00000000
"DisableWrapperCP"=dword:00000000
CredProvAPIURL: задайте адрес приложения credprovapi на сервере Indeed CM.AdminDetails: задайте текст разъяснения для пользователя.DisableServerCertificateChecking: установите значение 0 (значение по умолчанию), если необходимо проводить проверку подлинности сертификата сервера Indeed CM. Установите 1 (dword:00000001), если проверку подлинности проводить не требуется.DisableSuspendCP: установите значение 0 (значение по умолчанию), если в интерфейсе входа в ОС необходимо отображать опцию Выключение смарт-карты или значение 1 (dword:00000001), если опцию Выключение смарт-карты отображать не требуется.DisableWrapperCP: установите значение 0 (значение по умолчанию), если необходимо выполнять разблокировку смарт-карты с использованием стандартного Credential Provider. Установите значение 1 (dword:00000001), если необходимо использовать отдельный Credential Provider.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\IndeedCM\Client]
"CredProvAPIURL"="https://server.demo.local/cm/credprovapi"
"AdminDetails"="Свяжитесь с администратором по внутреннему номеру 1607"
"DisableServerCertificateChecking"=dword:00000000
"DisableSuspendCP"=dword:00000001
"DisableWrapperCP"=dword:00000001
В примере указано имя машины server.demo.local, включена проверка подлинности сертификата сервера, отключено отображение кнопки Выключить смарт-карту и включена опция разблокировки смарт-карты в отдельном Credential Provider на экране входа в ОС.