安全有效，Windows服务器配置DKEY动态口令双因子登录保护

1. 方案简介

领先的动态密码解决方案提供商上海宁盾信息科技有限公司发布其Windows服务器配置DKEY动态口令认证解决方案，动态密码其每隔30/60秒变化一个，即使被窃取，由于其一次使用有效的特点，也无法使用，另外由于动态口令产生物理隔离，因此十分适合服务器访问。

宁盾DKEY可以保护Windows系统本地登录、远程桌面登录。DKEY for Windows插件有四种版本，分别对应32/64位的Windows XP/Windows Server2003和Vista/Windows 7/Windows Server 2008(R2)。

安装配置好DKEY for Windows插件之后原生的Windows登录界面将被替换为支持动态口令认证的登录界面：



用户如果绑定了令牌，除了在密码框输入原静态密码（支持本地密码/域密码/PIN码三种）之外，还要将动态密码输入在静态密码后面。

2. 配置DKEY TMS认证服务器

DKEY TMS的安装请参考《DKEY TMS安装手册》。激活之后使用默认域dkeyserver和默认管理员密码dkeyserver登录。

2.1. 创建用户

登录DKEY TMS，导航至“用户管理”->“用户列表”，选择“Builtin”用户数据源，打开用户列表：



、

2.2. 关联AD账户（可选）

DKEY TMS支持直接从AD中获取用户列表，避免重复创建用户的工作。

从导航栏打开“认证管理”->“用户列表”，点击“添加用户数据源”：



配置说明：

l 名称：数据源的名称，可随意填写；

l 协议：AD使用LDAP协议进行访问；

l 地址：域控制器的地址；

l 端口：LDAP默认端口389；

l 根：配置LDAP根。上图的示例与下图的AD配置对应：



表示以“test.ndkey.com”域的“ningdun”OU作为根目录；

l 只读：目前DKEY TMS不支持AD的写入操作，请勾选此选项；

l 用户名：AD中的一个用户名；

l 密码：该用户的密码；

l 唯一标识字段：AD的特殊配置，请填写objectGUID；

l 用户名字段：AD的特殊配置，请填写userPrincipalName；

l 登录名匹配；@后缀为域名。

AD用户数据源添加成功之后可以点击“认证管理”->“用户列表”，选择刚刚添加的数据源进行查看：

2.3. 绑定令牌

在“认证管理”->“用户列表”中点击用户数据源链接：

为Windows本地用户绑定令牌则点击“Builtin”，为AD中的用户绑定令牌则点击AD数据源。

点击“绑定”链接：



选择时间型令牌，输入令牌序列号后点击“绑定”：

3. 安装DKEY for Windows

选择适用的版本进行默认安装。安装成功之后在开始菜单会新增DKEY for Windows项：

点击“配置”，打开配置文件：

l address：DKEY TMS服务器IP地址或域名；

l address2： DKEY TMS备机地址；

l userNameSuffix：向DKEY TMS提交认证请求时自动添加用户名后缀，用以区分相同用户名从不同机器上登录。

配置完成后保存文件，点击“启用动态令牌”。确认之后，Windows XP/2003需要重新启动才能生效，Vista/Windows 7/Windows Server 2008(R2)无需重启。

4. 使用动态密码登录

不同版本的Windows登录界面会有少许区别：





其中AD域名部分为可选，如果使用本机用户登录则无需输入。

5. 区分多台计算机的相同用户名

在服务器没有接入AD的情况下，管理员通常使用administrator用户登录服务器。如果有多台服务器都是用动态口令，但是这些服务器的管理人员不同，那么认证服务器就需要能够区分不同服务器登录的同名用户。此时需要配置userNameSuffix：



如图，当配置为@192.168.56.5时，以administrator登录会自动匹配为认证服务器上的administrator@192.168.56.5：



【注】userNameSuffix的配置没有特殊要求，可以是任意字符串。