SODATSW spol. s r.o. Horní 32, 639 00 BRNO http://www.sodatsw.cz tel./ fax: 543 236 177 e-mail:
[email protected]
Recovery událost AreaGuard – nastavení, postup
Recovery událost AreaGuard - nastavení, postup
Obsah 1. Pojmy .............................................................................................................................................. 3 2. Podmínky pro užití nouzových postupů............................................................................................... 3 3. Nastavení systému AreaGuard AdminKit ............................................................................................. 3 3.1. Záložka Recovery ....................................................................................................................... 4 3.2. Úprava souboru agreg.ini ............................................................................................................ 5 4. Nastavení AreaGuard bez AdminKit .................................................................................................... 9 5. Postup při nouzové situaci z pohledu uživatele.................................................................................... 9
Verze: 1.0.1
2/22
Recovery událost AreaGuard - nastavení, postup
Vážený uživateli, Při používání hardwaru (dále jen HW) je zapotřebí dbát určitých pravidel, aby HW fungoval dle jeho specifikací. Avšak i přes tato pravidla se můžete dostat do situace, kde je zapotřebí řešit např. zapomenutý PIN k tokenu, jeho poškození či ztrátu. A právě pro tyto specifické případy je v bezpečnostním systému AreaGuard postup pro tzv. Recovery událost – průvodce nouzovým stavem. Postup nastavení systému AreaGuard a vlastní „Průvodce nouzovým stavem“, naleznete právě v tomto dokumentu.
1. Pojmy Recovery událost - je událost, na základě které se lze přihlásit k PC, či pracovat se šifrovanými sobory, složkami, bez HW tokenu či karty.
Credential Providers - tzv. poskytovatel pověření nebo správce oprávnění operačního systému (dále jen OS)
Gina - „Formulář“ pro ověření přihlášení do OS AreaGuard AdminKit – je Centrální správa aplikace AreaGuard pro jednotnou správu uživatelů, tokenů a šifrovacích klíčů
2. Podmínky pro užití nouzových postupů AreaGuard 3.0 a vyšší verze, AreaGuard AdminKit Recovery soubor uživatele (defaultně na c:\recovery) Dostupnost IT administrátora k AreaGuard AdminKit Uživatel je seznámen s průběhem nouzových stavů, je např. dohodnuta kontrolní otázka k ověření uživatele
3. Nastavení systému AreaGuard AdminKit V systému AreaGuard AdminKit je zapotřebí připravit jednotlivé uživatele, pro Recovery událost. Veškerá tato nastavení se nedají provádět hromadně, ale musí se provádět individuálně, po jednom uživateli.
Verze: 1.0.1
3/22
Recovery událost AreaGuard - nastavení, postup
3.1. Záložka Recovery
Po spustění AreaGuard AdminKit a založení uživatele, přejděte do záložky Recovery. Zde je zapotřebí nadefinovat Kontrolní otázku a k ní odpověď, jenž se po zadání do řádku „Kontrolní odpověď“ a stisku tlačítka „Ověřit kontrolní odpověď“, ověří proti databázi a tím máte jistotu, že dotyčný na druhé straně telefonu, či e-mailu, je opravdu ten správný člověk Tlačítko „Nastavit odpověď na kontrolní otázku“ zobrazí tento dialog
a to vždy prázdný, takže po uložení, není možné zobrazit tuto odpověď ale vždy je zapotřebí ji zadat znovu, jako „novou“ čili takto:
Verze: 1.0.1
4/22
Recovery událost AreaGuard - nastavení, postup
Při zadávání kontrolní odpovědi to formuláře záložky Recovery, toto pole nerozlišuje velká, malá písmena a ani diakritiku.(př. stačí napsat jako odpověď „jarolimova“) a zobrazí se
Na každou špatnou odpověď je chybové hlášení
Po nastavení záložky recovery je zapotřebí vygenerovat skript a proto stiskněte tlačítko „Generovat skript”. Tento postup je zapotřebí provést u každého uživatele.
3.2. Úprava souboru agreg.ini Před samotnou instalací klientů, je zapotřebí provést úpravu souboru agreg.ini z důvodu zajištění připravenosti pro recovery událost na jednotlivých klientech. Základní vzhled souboru agreg.ini:
; Registry setting used for distribution of AreaGuard Notes either with ; setup or autoinstall [KERNEL] [KERNEL_XP] [KERNEL_VISTA] ; Main core of AreaGuard Notes. Don't touch if you don't know what you are doing !!!! [SYSTEM_ONLINE] HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\SAG\TypesSupported=31
Verze: 1.0.1
5/22
Recovery událost AreaGuard - nastavení, postup
HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\SAG\EventMessageFile=%SystemRoot%\System32\SAGLOG.DL L HKLM\SYSTEM\CurrentControlSet\Services\SAG\Parameters\NetworkSupport=1 HKLM\SYSTEM\CurrentControlSet\Services\SAG\Parameters\RemovableSupport=0 HKLM\SYSTEM\CurrentControlSet\Services\SAG\Parameters\DenyNetworkRawOpen=0 HKLM\SYSTEM\CurrentControlSet\Services\SAG\Parameters\DenyFloppySupport=0 HKLM\SYSTEM\CurrentControlSet\Services\SAG\Parameters\AllowServerEncryption=0 HKLM\SYSTEM\CurrentControlSet\Services\SAG\Parameters\RemovableEncryption=0 HKLM\SYSTEM\CurrentControlSet\Services\SAG\Parameters\ForceNetworkRename=1 HKLM\SYSTEM\CurrentControlSet\Services\SAG\Parameters\DisabledOnBoot=0 HKLM\SYSTEM\CurrentControlSet\Services\intlfxsr\Start=4 HKLM\SYSTEM\CurrentControlSet\Services\sr\Start=4 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\DoSagSrvTokenDetection=1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowInfoTip=0 HKLM\SOFTWARE\SODAT Software\AreaGuard\KeyName= ;Terminal Server Encryption - user can use only own encryption keys ;HKLM\SYSTEM\CurrentControlSet\Services\SAG\Parameters\KeysSessionUnique=1 ;Disable activity of agoutplug.dll - Outlook email attachements encryption ;HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\MailFlags=0 ; zasilani alertu a zakazani otevirani nesifrovanych souboru na ; vymenych mediich ;HKLM\SYSTEM\CurrentControlSet\Services\SAG\Parameters\RemovableDenyAll=1 ;HKLM\SYSTEM\CurrentControlSet\Services\SAG\Parameters\OaSupport=1 [SYSTEM] HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\AreaGuard\TypesSupported=31 HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\AreaGuard\EventMessageFile=%SystemRoot%\System3 2\SAGLOG.DLL HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\data3=0 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\data2=0 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\data1=3 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\KeyInactivityTime=4294967295 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\KeyNameIdentParam=1 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\AgCplShowRemoPage=1 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\MailFlags=4369 ;
AreaGuard Notes
[NOTES] HKLM\Software\Microsoft\Windows HKLM\Software\Microsoft\Windows HKLM\Software\Microsoft\Windows HKLM\Software\Microsoft\Windows HKLM\Software\Microsoft\Windows HKLM\Software\Microsoft\Windows HKLM\Software\Microsoft\Windows HKLM\Software\Microsoft\Windows HKLM\Software\Microsoft\Windows HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify\AGServ\Unlock=AGWinLogonUnlock NT\CurrentVersion\Winlogon\Notify\AGServ\Lock=AGWinLogonLock NT\CurrentVersion\Winlogon\Notify\AGServ\Logon=AGWinLogonLogon NT\CurrentVersion\Winlogon\Notify\AGServ\Startup=AGWinLogonStartup NT\CurrentVersion\Winlogon\Notify\AGServ\Shutdown=AGWinLogonShutDown NT\CurrentVersion\Winlogon\Notify\AGServ\Logoff=AGWinLogonLogOff NT\CurrentVersion\Winlogon\Notify\AGServ\StartShell=AGWinLogonStartShell NT\CurrentVersion\Winlogon\Notify\AGServ\DLLName=AGSERV.DLL NT\CurrentVersion\Winlogon\Notify\AGServ\Impersonate=0 NT\CurrentVersion\Winlogon\Notify\AGServ\Asynchronous=0
[FIRMWALL] HKLM\SYSTEM\CurrentControlSet\Services\SAG\Parameters\FirmWall=1 ; ; ;
Installing AGTOKEN
[TOKEN] HKLM\SOFTWARE\SODAT HKLM\SOFTWARE\SODAT HKLM\SOFTWARE\SODAT HKLM\SOFTWARE\SODAT
Verze: 1.0.1
Software\AreaGuard\GlobalParam\AllowShowingPasswords=0 Software\AreaGuard\GlobalParam\SecondaryTokenDetection=2 Software\AreaGuard\GlobalParam\TokenAccessWaitTime=1250 Software\AreaGuard\GlobalParam\AllowExImToken=1
6/22
Recovery událost AreaGuard - nastavení, postup
[TOKEN_IKEY1000] [TOKEN_IKEY2000] HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\PkcsDLLs=DKCK201.DLL;ETPKCS11.DLL;AETPKSS1.DLL [TOKEN_REGISTRY] ; ; Properties for installing Aggina ; [AGGINA] HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\AreaGuard\TypesSupported=31 HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\AreaGuard\EventMessageFile=%SystemRoot%\System3 2\SAGLOG.DLL HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\TokenRemoveAction=2 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\PasswordExpires=90 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\PasswordLength=14 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\PasswordExtended=0 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\PasswordCharCount=6 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\PasswordDigitCount=4 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\PasswordSpecialCount=4 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\AllowKeyboardSas=1 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\PasswordRawChange=1 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\UseAGDialogLogo=1 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\GinaRunning=1 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\NonUniqueTokenUnlock=1 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL=AGGINA.DLL ; Following lines will setup emergency wizard ;HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyRecoveryLocal=c:\recovery ;HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyTel='phone number' ;HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyEmail='
[email protected]' ;Hide Unblock PIN option in emergency wizard ;HKLM\SOFTWARE\SODAT software\AreaGuard\GlobalParam\EmergencyRecoveryBlockedPIN=1 ; ; ;
AGWorkstConfig
[WKSTCONFIG] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AGWorkConfig=AGWCFG.EXE ; ; ; ; ; ; ;
Following parameter allows virtual symetric token token be distributed manually. If it is set to 1 and if there are no key in memory and no token on target machine, it prompts user for distribution key PHRASE. This allows create and distribute token for the first time. After sucessful distribution next ones are blocked by adding key under HKCU\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\BlockManualDistribution=1 so this kind of distribution is one-time only for each user on cumputer
;HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\ManualDistribution=1 ; This can be used only with tokens secured by certificate and preceeding ; parametr to make quiet installation of virtual token for the first time ; NOTE: virtual token will have same name as serial number ;HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\ForceCreateToken=1 ; ; ;
Administrative part
[ADMIN] ; ;
User's part
Verze: 1.0.1
7/22
Recovery událost AreaGuard - nastavení, postup
; [ADMINKIT] [EASYLOGIN] [USER_ONLINE] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SAGCTRL=SAGCTRL.EXE HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\AllowSagCtrlPass=0 HKCU\SOFTWARE\SODAT Software\AreaGuard\UserParam\SAGCTRLRemoPosX=0 HKCU\SOFTWARE\SODAT Software\AreaGuard\UserParam\SAGCTRLRemoPosY=0 HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\GlobalRemoAllowedGroups=NoBody HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\LocalRemoAllowedGroups=NoBody HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\SkippedKeyTickCount=500 [USER] ; ; ;
Extension's part
[EXTENSION] [RUNTIME] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AreaGuard\UninstallString=AGUNINST.EXE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AreaGuard\DisplayName=AreaGuard Desktop System 4.1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AreaGuard\Publisher=SODATSW spol. s r.o. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AreaGuard\UninstallString=AGUNINST.EXE
Security
Důležitá sekce je označená žlutou barvou, je to část pro nastavení Emergency wizard=Průvodce nouzovou situací. Tato sekce je tzv. odpoznámkovaná středníky, čili se nepoužívá. V tomto stavu není možné použít Emergency wizard=Průvodce nouzovou situací. Nejprve je zapotřebí zrušit středníky a po té upravit záznamy viz níže: ; Following lines will setup emergency wizard HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyRecoveryLocal=c:\recovery
Tímto řádkem se specifikuje uložiště recovery souboru uživatele. Lze ještě přidat další dva řádky pro uložení na síti, či uložení na internetu. Nejčastěji se však používá uložení na lokálním disku uživatele. Pro příklad uvádíme, jak má vypadat zápis pro další volby: HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyRecoveryLAN=\\server\recovery
Tímto řádkem se specifikuje uložiště recovery souboru na místní síti HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyRecoveryWEB=http://www.company.com/recovery
Tímto řádkem se specifikuje uložiště recovery souboru na internetu. HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyTel='+420123456789'
Zde uveďte telefonní číslo na helpdesk Vaší společnosti. HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyEmail='
[email protected]'
Zde uveďte kontaktní e-mail Vaší společnosti.
Verze: 1.0.1
8/22
Recovery událost AreaGuard - nastavení, postup
HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyRecoveryLAN
HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyRecoveryWEB
HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyRecoveryLocal
4. Nastavení AreaGuard bez AdminKit Pokud není nainstalovaná centrální správa AreaGuard AdminKit, nelze použít „Průvodce nouzovým stavem“, jenž se zobrazuje před vložením tokenu – AreaGuard Gina
5. Postup při nouzové situaci z pohledu uživatele Tento postup je převzat a upraven z nápovědy systému AreaGuard, jenž naleznete v sekci „Centrální správa AdminKit“ a kapitola „Recovery událost – průvodce nouzovým stavem“
Verze: 1.0.1
9/22
Recovery událost AreaGuard - nastavení, postup
Před přihlášením do OS se zobrazí okno s AreaGuard Ginou. V OS Windows XP
V OS Windows Vista
Verze: 1.0.1
10/22
Recovery událost AreaGuard - nastavení, postup
V dalším kroku je zapotřebí kliknout na „Průvodce nouzovou instalací“, či „Emergency wizard“ Následně se zobrazí toto okno
HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyTel HKLM\SOFTWARE\SODAT Software\AreaGuard\GlobalParam\EmergencyEmail
Odblokování tokenu: - pouze pro tokeny řady iKey10xx Tato volba slouží pouze o odblokování tokenu, pokud se zapomene PIN. Postup na straně uživatele: Vista - na přihlašovacím dialogu vyberte příslušný Credential Providers a v následujícím okně vyberte "Průvodce nouzovou situací - Emergency wizard", další postup je totožný s postupem Recovery události na systému Windows 2000 a XP. Vyberte nouzovou situaci „Došlo k zablokování PINu nebo jeho ztrátě“ a pokračujte pomocí tlačítka „Další“.
Verze: 1.0.1
11/22
Recovery událost AreaGuard - nastavení, postup
Zobrazí se:
Kontaktujte technickou podporu viz. kontaktní údaje a sdělte pracovníkovi technické podpory kontrolní kód a po té klikněte na tlačítko „Další“.
Verze: 1.0.1
12/22
Recovery událost AreaGuard - nastavení, postup
Po vašem ověření vám pracovník technické podpory sdělí kód pro odblokování tokenu. Zadejte a potvrďte nový PIN. Pokračujte pomocí tlačítka „Další“.
Verze: 1.0.1
13/22
Recovery událost AreaGuard - nastavení, postup
V případě, že nebude zobrazeno následující okno, je třeba zkontrolovat zadání kontrolního kódu a jeho odpovědi. Pokud byl kód zadán v pořádku, pokračujte pomocí tlačítka „Dokončit“.
Verze: 1.0.1
14/22
Recovery událost AreaGuard - nastavení, postup
Po úspěšném odblokování ukončete průvodce nouzovou situací tlačítkem „Zavřít“ a proveďte přihlášení tokenem.
Verze: 1.0.1
15/22
Recovery událost AreaGuard - nastavení, postup
Došlo k odcizení, ztrátě nebo poškození HW tokenu – nejčastěji používaná volba
Vyberte volbu „Došlo k odcizení, ztrátě nebo poškození HW tokenu“ pokud máte token poškozen, nebo není token k dispozici (ztracen, odcizen, zapomenut uživatelem apod.).
Verze: 1.0.1
16/22
Recovery událost AreaGuard - nastavení, postup
Pokud nemáte k dispozici záložní token, vyberte volbu „Nemám k dispozici záložní token“. Pokud pro přihlášení potřebujete nouzový servisní účet, označte volbu v nabídce.
Verze: 1.0.1
17/22
Recovery událost AreaGuard - nastavení, postup
Vyberte druh připojení k uložišti recovery balíčků. Pokud nejste připojeni, vyberte volbu „Není k dispozici připojení k síti“. Pokud nemáte vyplněné všechny hodnoty v registru systému, dle bodu 3.2 tohoto postupu a použijete námi předdefinovanou volbu uložení na lokálním disku, volba „Připojení k lokální síti“ a „Připojení k internetu“ budou „zašedlé“, čili se nebudou dát vybrat.
Verze: 1.0.1
18/22
Recovery událost AreaGuard - nastavení, postup
Zadejte jméno uživatele, pod kterým jste se dosud přihlašovali. Spojte se s technickou podporou a nahlaste kontrolní kód.
Verze: 1.0.1
19/22
Recovery událost AreaGuard - nastavení, postup
Pokud znáte své uživatelské jméno a zapomněli jste jen heslo, zadejte místo Emergency svého uživatele a nastavte si nové heslo – P O Z O R – řídí se politikou hesel, musí být tudíž dostatečně silné a nesmí to být předchozí atd. Pokud nejste schopni se přihlásit na svůj uživatelský účet, vytvoří se dočasný účet Emergency, zde vyplňte heslo (musí splňovat politiku hesel nastavených ve Vaši společnosti).
Verze: 1.0.1
20/22
Recovery událost AreaGuard - nastavení, postup
V dalším kroku vyberte, kde je uložen Váš Recovery soubor (uložiště je v C:\Recovery, pokud se je Vaše uživatelské jméno novak, soubor se bude jmenovat Recovery_Novak.agw). Poté, co jste vybrali správný recovery soubor, klikněte na tlačitko „Zjistit“ v poli Šifrovací klíč k souboru, informujte technickou podporu o názvu příslušného klíče. Od technické podpory získáte protikód (heslo), které vypište do příslušného řádku. Zadejte Sériové číslo virtuálního tokenu (např. 12345678). Pokračujte v průvodci „Další“..
Verze: 1.0.1
21/22
Recovery událost AreaGuard - nastavení, postup
Tímto je celá Recovery událost ukončená, její průběh je možno v budoucnosti zkontrolovat v AdminKitu – u uživatele Historie událostí nouzových postupů.
Verze: 1.0.1
22/22